La sécurisation des données bancaires entre dans une phase décisive.
Depuis le 30 juin 2005, les sites Web réalisant un volume de transactions monétaires de plus de 125 000 dollars doivent en effet se conformer aux directives érigées par le PCI (Payment Card Industry), organisme dont font notamment partie les leaders du marché de la carte bancaire Visa, MasterCard, American Express et Diners Club.
Les recommandations du consortium doivent être appliquées
stricto sensu. Elles contraignent les sites Web marchands à procéder à une auto-évaluation de leurs bases de données contenant les informations bancaires des consommateurs, ainsi qu'à un
scan réseau trimestriel de leurs systèmes de paiement.
Comme le fait remarquer David Botvinik, directeur général de Fia-net, société spécialisée dans les services de tiers de confiance et de détection de la fraude sur Internet : "on identifie deux type de sites marchands. Ceux qui recourent à des plates-formes sécurisées des établissements bancaires et qui n'ont donc jamais en leur possession les données bancaires de leurs clients, et ceux qui disposent de leur propre système de paiement et doivent se plier à ces nouvelles recommandations".
Pour les sites Web qui conservent les données bancaires, les mesures nécessaires à adopter sont regroupées en 6 catégories. "Elles visent à réduire les risques de malversations à l'encontre
des commerçants et des acheteurs. Les systèmes de paiements seront eux-mêmes
un peu mieux protégés par le renforcement de la sécurité des données du
porteur de la carte bancaire. Certains commerçants pourront informer leurs
clients qu'ils sont conformes aux exigences de la norme
Payment Card
Industry Data Security Standard et ainsi apporter un degré de confiance
et/ou de sécurité supplémentaire aux prospects et usagers du site Web", précise Laurent Treillard,
consultant sécurité système d'information
chez Ageris Consulting.
Les mesures du PCI doivent être complétées par des actions de vigilance interne |
La première catégorie identifie deux actions semblant découler du bon sens par le fait d'installer et de maintenir à jour son
firewall, sans oublier également de personnaliser les mots de passe des solutions des éditeurs.
La deuxième concerne les moyens de protection relatifs au porteur de la carte et le recours aux procédures de cryptage de transmission des données.
Utiliser et maintenir à jour des logiciels anti-virus tout en implémentant des systèmes de contrôle d'accès aux informations contenues dans les systèmes de paiement constituent respectivement les troisième et quatrième catégories.
Si cette troisième recommandation apparaît banale, elle met en lumière l'une des problématiques majeures de sécurité auxquelles peuvent être confrontés les sites. Le danger peut en effet venir de l'intérieur des sociétés, dû par exemple au comportement malveillant - voire frauduleux - d'un individu tenté par la collecte facile de données bancaires.
Au niveau des activités de monitoring et de test de
scan (cinquième recommandation), des solutions du marché comme celle proposée par Qualys incluent depuis peu un module spécifique de vérification
ad-hoc qui permet notamment d'éditer des rapports réglementaires mais aussi de réaliser des audits de vérification et de règles de sécurité internes.
Selon Philippe Courtot, P-DG de Qualys : "90% de nos clients scannent déjà leur serveur et leur réseau une fois toutes les deux semaines, permettant de contrer l'apparition de nouvelles vulnérabilités et de valider avec succès l'audit externe supervisé par Mastercard".
Des mesures coercitives sont prévues dans le cas où les sites Web ne se plieraient pas aux exigences imposées par le PCI. L'évantail des sanctions va de la simple amende au retrait de la licence d'utilisation.