L'industrie des cartes de paiement prépare la sortie du standard de sécurité 2.0

Un standard pour les gouverner toutes... Ce n'est pas nouveau, c'est même une version 2.0 qui est attendue en septembre pour le standard de sécurisation des cartes de paiement, sobrement intitulé Payment Card Industry Data Security Standard (PCI DSS). Selon l'organisation qui en a la charge, il n'y aura pas de changements majeurs par rapport au DSS 1.2 actuellement utilisé, mais devrait clarifier ce que les obligations de la PCI signifient pour la sécurité des entreprises.

Selon Bob Russo, responsable du Conseil des Standards de Sécurité de la PCI, de nouvelles recommandations devraient être faites en lien avec le processus pour déterminer où sont stockées les données sensibles des possesseurs de carte sur un réseau, pour savoir quelles portions de ce réseau sont régies par le standard. Le problème aujourd'hui selon Russo, c'est que les entreprises qui détiennent des informations sur les possesseurs de cartes de paiement ne savent pas réellement où celles-ci vont. « Ils vont dire "nous avons trouvé des données dans les parties les plus obscures de notre réseau, nous n'avions aucune idée que c'était là", » explique le responsable. « Les recommandations sur ce sujet incluront des technologies de prévention de la perte de données, ou des outils de recherche pour trouver les données des possesseurs de carte. »

Autre question à trancher : celle de la virtualisation, qui traîne dans les dossiers du Conseil depuis des années. Un débat est toujours en cours pour savoir si la section 2.2.1 du DSS, qui requiert une seule fonction primaire par serveur, peut décourager ou non la virtualisation pour les données de la PCI. « Il n'y a certainement aucune impossibilité majeure à l'encontre des environnements virtualisés, » estime pour sa part Russo. Un document séparé du standard, sorte de guide de bonne conduite, doit clarifier un peu mieux cette question dans le courant de l'année.

Autre débat, le chiffrement end-to-end des données. Certains industriels demandent à ce qu'il soit imposé pour réduire les risques de cyber-attaques visant à voler massivement des numéros de cartes, mais le Conseil ne semble pas vouloir donner la moindre indication. « Nous n'allons pas recommander à qui que ce soit de faire quoi que ce soit, » déclare Russo. « Si vous ajoutez plus de couches de sécurité, c'est une bonne chose. » Le standard à venir pourrait cependant donner une direction légèrement différente, en expliquant comment réaliser l'encryptage end-to-end. Cela dépendra des décisions finales du Conseil, qui doit ménager l'industrie pour que ses recommandations et son standard n'amènent pas des dépenses déraisonnables pour les fabricants.