La France est l’un des principaux pays expéditeurs de spam au monde, avec plus de 7 milliards de spams envoyés par jour.

Selon des statistiques récentes, le phishing est la cyberattaque la plus courante en France, touchant environ six entreprises sur dix. C’est pourquoi la conformité à la norme DMARC est de la plus haute importance en France. D’ici mars 2025, la mise en œuvre de DMARC sera obligatoire dans les Normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS) version 4.0. Recommandé par le PCI SSC comme exigence future, DMARC protège les entreprises contre les attaques par email, telles que le phishing. Après la date limite, les entreprises traitant des données de cartes devront mettre en œuvre DMARC pour une authentification d’email robuste.

La politique DMARC de p=reject ou p=quarantine est essentielle pour se protéger contre les attaques par usurpation. Cet article vous guide à travers les règlements de conformité DMARC PCI DSS et l’importance pour les organisations d’imposer la protection des données.

Qu’est-ce que le PCI SSC et la norme PCI DSS ?

Le PCI SSC, ou Conseil des normes de sécurité PCI, est une organisation mondiale qui établit et maintient les Normes de sécurité des données PCI (PCI DSS). Elle regroupe les principaux réseaux de cartes, comme Mastercard, Discover, American Express et Visa, pour développer et promouvoir les normes de sécurité nécessaires à la protection des transactions de cartes de paiement.

Quels sont les objectifs de PCI DSS ?

La norme PCI DSS est un ensemble complet de normes de sécurité visant à assurer la protection des données des détenteurs de cartes lors des transactions.

• Protection des données des détenteurs de cartes : l’objectif principal est de protéger les informations sensibles des détenteurs de cartes pendant les transactions, empêchant tout accès non autorisé ou vol.
• Création d’environnements de paiement sécurisés : la norme impose aux commerçants de maintenir des infrastructures réseau sécurisées, avec des contrôles d’accès et des systèmes de cryptage.
• Mise en œuvre de mesures de protection : PCI DSS exige des mesures spécifiques comme des pare-feux, des antivirus et des pratiques de codage sécurisé.
• Maintien des pratiques de sécurité continues : la norme souligne l’importance de surveiller et de maintenir les mesures de sécurité par des analyses de vulnérabilité régulières et des formations à la sécurité.
• Assurance de la conformité dans l’industrie : elle fournit un cadre unifié pour assurer des mesures de sécurité cohérentes dans l’industrie des cartes, renforçant la confiance dans l’écosystème des paiements.

Exigences à venir de la PCI DSS v4.0 – Quoi de neuf ?

La DMARC PCI DSS v4.0 remplace la version 3.2.1 pour lutter contre les cybermenaces croissantes.

Mieux équipée pour faire face aux dernières menaces, elle comprend :

• Une approche personnalisée des préoccupations de cybersécurité
• Des procédures de test renforcées
• Une plus grande attention aux contrôles de sécurité réseau et à la cryptographie
• La suppression des exigences redondantes
• L’application de DMARC

Quand la PCI DSS v4.0 sera-t-elle en vigueur ? 

Elle sera entièrement appliquée en mars 2025, après l’expiration de la version précédente en mars 2024. Les organisations devront migrer pour rester conformes.

Meilleures pratiques et recommandations DMARC PCI DSS

Le PCI SSC reconnaît DMARC comme une pratique recommandée pour l’authentification des emails, renforçant ainsi la sécurité.

Mise en œuvre de DMARC en tant qu’exigence PCI DSS 

Dans la version 4.0 de PCI DSS, la mise en œuvre de DMARC sera obligatoire pour les entreprises traitant, stockant ou transmettant des données de cartes. Elles devront aussi implémenter SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail).

Mesures complémentaires dans le cadre de la mise à jour 

SPF et DKIM complètent DMARC. SPF définit les expéditeurs autorisés pour un domaine, tandis que DKIM vérifie l’intégrité des emails par des signatures numériques.

Assurer une authentification complète des emails avec DMARC 

Pour protéger contre les attaques d’usurpation, les organisations doivent établir une politique DMARC de « p=reject » ou « p=quarantine » pour rejeter ou signaler les emails suspects.

Secteurs touchés par le PCI DSS DMARC

• Santé : les établissements de santé traitant des paiements par carte doivent respecter la PCI DSS et mettre en œuvre DMARC pour renforcer la sécurité des emails.
• Commerce de détail : DMARC ajoute une couche de sécurité essentielle pour protéger les informations de paiement client.
• Hôtellerie : les entreprises doivent respecter PCI DSS pour protéger les données des clients et mettre en œuvre DMARC pour se protéger contre les attaques.

Exigences obligatoires pour les processeurs de données de cartes

La conformité PCI DSS est nécessaire pour les entreprises traitant des données de cartes. La mise en œuvre de DMARC est cruciale pour une authentification complète et la protection contre les attaques.

Importance de DMARC pour la protection de la marque et la confiance du consommateur

DMARC aide à protéger les marques et à préserver la confiance des clients. En l’appliquant, les entreprises montrent leur engagement à sécuriser les informations clients.

Conclusion

La PCI DSS est un cadre essentiel pour sécuriser les transactions de paiement. La version 4.0 impose la mise en œuvre de DMARC, renforçant ainsi la sécurité et la confiance.

FAQ PCI DSS V4.0

• Quelle exigence de sécurité PCI concerne la protection physique des données des clients ? 

La norme aborde la protection physique des zones où les données des clients sont stockées pour empêcher tout accès non autorisé.

• Pourquoi les exigences v4.0 sont-elles dites « à date future » ? 

Elles offrent aux organisations une année supplémentaire pour se conformer après l’expiration de l’ancienne version.

• Quelles sont les autres exigences futures de PCI DSS v4.0 ? 

En priorité : cryptage, mises à jour des clés de sécurité, sécurité des applications et examen périodique des accès utilisateurs.