Blog

Guide complet et étapes de PCI DSS 4.0.1

Guide complet et étapes de PCI DSS 4.0 La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble de directives garantissant la sécurité

Mar 04, 2024 • 14 min read

Simon Wijckmans Founder & CEO

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble de directives garantissant la sécurité des transactions par carte à l'échelle mondiale. Créée par le PCI Security Standards Council, elle vise à protéger contre le vol de données et la fraude dans les transactions par carte de débit et de crédit.

La dernière version de la norme PCI, PCI DSS 4.0, fait évoluer les critères tout en mettant l'accent sur la sécurité continue et en introduisant de nouvelles méthodes de conformité. Elle remplace la version PCI DSS 3.2.1 (mai 2018) pour répondre de manière stratégique aux menaces et technologies émergentes, propose des approches innovantes face aux risques croissants, et sécurise d'autres éléments de l'écosystème de paiement.

PCI DSS 4.0 s'applique à toutes les entités qui stockent, traitent ou transmettent des données de titulaires de carte (CHD) et/ou des données d'authentification sensibles (SAD), ou qui pourraient avoir un impact sur la sécurité de l'environnement des données de titulaires de carte (CDE). Cela inclut toutes les entités traitant des comptes de cartes de paiement, telles que les commerçants, les processeurs, les acquéreurs, les émetteurs et autres prestataires de services.

Vous êtes donc très probablement concerné.

Le niveau gratuit de cside vous rend conforme et sécurisé. Nos niveaux payants augmentent la flexibilité et la sécurité de votre site face aux attaques que cette nouvelle réglementation cherche à combattre, pour vous aider à garantir la conformité aux exigences PCI 6.4.3 & 11.6.1.

Commençons par les nouveautés :

Vous devez désormais surveiller les scripts tiers

Voici ce qu'il faut savoir :

PCI DSS 4.0 (en particulier l'exigence 6.4.3) impose à tous les fournisseurs d'autoriser chaque script sur les pages de paiement, de tenir un inventaire de tous les scripts et d'en garantir l'intégrité. L'exigence 11.6 souligne la nécessité de détecter et de répondre aux modifications non autorisées sur les pages de paiement, y compris les changements apportés aux en-têtes HTTP et au contenu des pages.
Les organisations doivent vérifier ces configurations au moins une fois tous les sept jours, ou selon la fréquence déterminée par leur analyse des risques.
La mise à jour PCI DSS 4.0 exige que les organisations tiennent un inventaire de tous les composants système pertinents pour PCI DSS, y compris les logiciels sur mesure et personnalisés, mais aussi les scripts tiers.
De plus, PCI DSS 4.0 encourage également un passage des audits annuels à une surveillance continue de la sécurité, impliquant des révisions et mises à jour régulières des composants système et des logiciels.

Comme mentionné, le niveau gratuit de cside fait tout cela. Nous vous montrons quels scripts exécutent quoi, et vous pouvez gérer précisément ce que vous souhaitez bloquer.

Nos niveaux payants renforcent la sécurité en cas de problème. Ils offrent des fonctionnalités de blocage personnalisées et automatisées, d'autres modes de notification, et des exports de journaux, entre autres.

Les 6 principes fondamentaux et les 12 exigences de PCI DSS 4.0

PCI DSS 4.0 repose sur six principes fondamentaux visant à favoriser un environnement sécurisé pour les personnes effectuant (et facilitant) des transactions en ligne :

Construire et maintenir un réseau sécurisé pour les données des titulaires de carte (CHD).
Protéger les données des titulaires de carte (CHD) stockées ou transmises.
Maintenir un programme de gestion des vulnérabilités, intégrant des politiques de sécurité et des tests.
Mettre en œuvre des mesures strictes de contrôle d'accès basées sur les besoins métier.
Surveiller et tester en continu les réseaux pour détecter les vulnérabilités.
Développer et maintenir une politique de sécurité de l'information complète, en sensibilisant les employés à leur rôle dans la protection des CHD.

Autant de bonnes pratiques qui devraient être en place pour créer un environnement plus sûr pour les internautes !

Il existe ensuite 12 exigences pour être conforme.

Gardez à l'esprit que certaines d'entre elles figuraient déjà dans les versions précédentes de PCI DSS, donc la plupart d'entre vous devraient déjà les avoir mises en place, ou du moins avoir commencé. Si vous utilisez des frameworks existants pour votre site (outils comme Shopify, Webflow, ou des boilerplates et bibliothèques), vérifiez s'ils intègrent ces fonctionnalités.

Cela dit, voici ces exigences :

1. Installer et maintenir des contrôles de sécurité réseau. Les commerçants doivent garantir un réseau sécurisé à l'aide de contrôles de sécurité réseau (NSC) tels que des pare-feux, des routeurs et des mesures robustes d'accès au cloud. Ces contrôles doivent gérer le trafic selon des règles prédéfinies, dans le but de protéger l'environnement des données de titulaires de carte (CDE) conformément à la norme PCI DSS.

2. Appliquer des configurations sécurisées à tous les composants système. PCI DSS v4.0 introduit de nouvelles exigences concernant les rôles et responsabilités dans la sécurisation des configurations de réseaux sans fil. La mise en œuvre de ces configurations permet de minimiser les surfaces d'attaque potentielles et la probabilité de compromission des systèmes.

3. Protéger les données de compte stockées (SAD). Les entreprises doivent mettre en œuvre des méthodes de protection telles que le chiffrement, la troncature, le masquage et le hachage pour protéger les données d'authentification sensibles (SAD) et minimiser les risques.

Éviter de stocker les données d'authentification sensibles (SAD) sauf si nécessaire.
Tronquer les données du titulaire de carte si le numéro de compte principal (PAN) complet n'est pas requis.
Ne pas envoyer de PAN non protégés via des technologies de messagerie destinées aux utilisateurs finaux, telles que l'e-mail ou la messagerie instantanée. Le chiffrement des données d'authentification sensibles (SAD) n'est pas requis lorsque les données se trouvent en mémoire volatile comme la RAM, mais elles doivent être supprimées une fois leur finalité métier accomplie. Si le stockage des SAD devient persistant, toutes les exigences PCI DSS 4.0, y compris le chiffrement, s'appliquent.

4. Utiliser une cryptographie robuste pour protéger les données des titulaires de carte lors de leur transmission sur des réseaux publics. Cela garantit la confidentialité, l'intégrité et la non-répudiation des données. Toutes les transmissions de PAN doivent être chiffrées pour prévenir toute compromission des données.

Chiffrer les données avant leur transmission
Chiffrer la session sur laquelle les données sont transmises

Par ailleurs, l'entreprise doit évaluer ses paramètres de sécurité réseau par rapport aux exigences PCI DSS 4.0 applicables si le réseau stocke, traite ou transmet des CHD.

5. Protéger tous les systèmes et réseaux contre les logiciels malveillants. PCI DSS 4.0 remplace le terme logiciel antivirus par logiciel anti-malware. Ce changement, qui peut sembler purement sémantique, impose désormais aux entités de mettre en œuvre des solutions anti-malware pour protéger leurs systèmes contre les menaces actuelles et émergentes. Par exemple :

Virus
Vers
Chevaux de Troie
Logiciels espions
Rançongiciels
Code, scripts et liens malveillants

Rappelons que cside répertorie et sécurise tous les scripts tiers que vous utilisez. S'ils venaient à être compromis, que ce soit sur votre ou vos propres sites web ou à l'échelle mondiale, vous êtes protégé.

6. Créer et maintenir des systèmes et logiciels sécurisés. Les entreprises doivent appliquer des correctifs logiciels à tous les composants système pour prévenir l'exploitation des données de compte. PCI DSS 4.0 exige des processus de cycle de vie logiciel et un codage sécurisé pour les logiciels personnalisés. Les dépôts de code stockant du code applicatif ou des données ayant un impact sur la sécurité des données de compte entrent dans le périmètre des évaluations PCI DSS 4.0.

7. Limiter l'accès aux composants système et aux données des titulaires de carte selon le principe du besoin d'en connaître. Cette exigence impose aux entreprises de mettre en œuvre des contrôles garantissant que l'accès aux données critiques est limité au seul personnel autorisé, sur la base du besoin d'en connaître et des responsabilités professionnelles, afin de prévenir tout accès non autorisé.

8. Identifier les utilisateurs et authentifier l'accès aux composants système. Cela impose une identification et une authentification uniques des utilisateurs pour l'accès aux composants système. Cela garantit la responsabilité et la traçabilité des actions, et s'applique à tous les comptes, y compris les comptes POS, administrateur, système et applicatif.

9. Restreindre l'accès physique aux données des titulaires de carte. Les commerçants et les entreprises doivent limiter l'accès physique aux systèmes traitant les données des titulaires de carte (CHD) afin de prévenir les violations ou la perte de confidentialité des données des titulaires.

10. Journaliser et surveiller tous les accès aux composants système et aux données des titulaires de carte. L'exigence 10 de PCI DSS 4.0 souligne l'importance des journaux d'audit et du suivi des activités des utilisateurs dans l'environnement des données de titulaires de carte (CDE) et les composants système. Cela permet d'établir des pistes d'audit, d'assurer le suivi, les alertes et l'analyse en cas de compromission d'un système, et s'applique à toutes les activités des utilisateurs.

11. Tester régulièrement la sécurité des systèmes et des réseaux. Les entreprises sont tenues de tester régulièrement tous les composants système, les processus et les logiciels personnalisés afin de s'assurer que les contrôles peuvent faire face à l'évolution du paysage des menaces, conformément à PCI DSS.

12. Soutenir la sécurité de l'information (SI) par des politiques et programmes organisationnels. Selon la dernière exigence, toutes les entreprises doivent mettre en œuvre une politique de sécurité de l'information. Cette politique doit informer le personnel de la sensibilité des données de cartes de paiement et de leur responsabilité dans leur protection.

Que se passe-t-il si vous n'êtes pas conforme ?

La plupart des changements n'entrent en vigueur qu'à partir du 31 mars 2025, certains étant déjà requis depuis le 31 mars 2024. Le temps presse donc vraiment. Mieux vaut agir maintenant, car des répercussions sont possibles :

Les processeurs de cartes répercutent souvent les frais de conformité et de non-conformité PCI sur les commerçants, chez de nombreux prestataires. Cependant, le paiement de ces frais ne garantit pas la conformité à PCI DSS 4.0, et les commerçants doivent toujours compléter le SAQ annuel et satisfaire aux autres exigences pour maintenir leur conformité.
Les entreprises ne respectant pas PCI DSS 4.0 peuvent faire face à une pénalité mensuelle de non-conformité de la part du processeur de cartes. Dans les cas graves, la non-conformité peut théoriquement entraîner la résiliation du compte du commerçant.

PCI DSS 4.0 est-il une loi ?

Bien que le PCI SSC n'ait pas d'autorité légale pour imposer la conformité, toute entreprise qui accepte ou traite des cartes de crédit ou de débit doit respecter ces normes, quel que soit son type d'activité ou sa localisation, car les principales sociétés de cartes de crédit exigent la conformité comme condition pour traiter leurs transactions.

L'organisme PCI a été fondé par American Express, Discover Financial Services, JCB International, MasterCard et Visa Inc. le 7 septembre 2006, avec pour objectif de gérer l'évolution continue de la norme de sécurité des données de l'industrie des cartes de paiement.

Cela signifie que si vous (ou un processeur de cartes que vous utilisez comme Stripe, PayPal, Adyen, Paddle, …) acceptez l'une de ces cartes, vous devez vous conformer à cette nouvelle norme PCI DSS 4.0. Dans le cas contraire, vous risquez les répercussions mentionnées ci-dessus, voire d'être coupé de la possibilité d'accepter des paiements.

Comment garantir votre conformité

Voici ce que vous devez faire, étape par étape :

Cartographiez vos flux CHD. Identifiez le mouvement des données des titulaires de carte (CHD) à travers vos applications, systèmes et personnel.
Complétez votre SAQ. Le questionnaire d'auto-évaluation (SAQ) permet de valider si une entreprise satisfait aux 12 exigences de conformité PCI (voir les 12 exigences ci-dessus).
Complétez votre AOC. L'attestation de conformité (AOC) est un document qui fournit un guide pour atteindre la conformité PCI, en s'assurant que toutes les étapes nécessaires sont accomplies.
Effectuez un scan de vulnérabilités. Sur la base des résultats du questionnaire d'auto-évaluation (SAQ), vous avez la possibilité d'effectuer le scan vous-même ou de faire appel à un fournisseur de scan approuvé (ASV).
Complétez et soumettez les documents. Soumettez le questionnaire d'auto-évaluation (SAQ), l'attestation de conformité (AOC) et les rapports du fournisseur de scan approuvé (ASV) aux marques de cartes de crédit que vous acceptez ou prévoyez d'accepter.
Surveillez la conformité régulièrement. Et pour cela, vous pouvez utiliser cside. Notre niveau gratuit vous rend conforme et met en place les barrières de sécurité. Nos niveaux payants vous offrent plus de flexibilité et encore plus de sécurité.

Déterminez votre niveau PCI. Les exigences de conformité PCI sont déterminées par le nombre de transactions traitées annuellement. La conformité PCI DSS est divisée en quatre niveaux, déterminés par le nombre de transactions par carte qu'une entreprise traite chaque année. Ces niveaux dictent les étapes qu'une entreprise doit suivre pour atteindre et maintenir la conformité.

Niveau	Critères	Exigence de validation
Niveau 1	Plus de 6 millions de transactions par an	Audit complet sur site par un QSA + SAQ D
Niveau 2	De 1 à 6 millions de transactions par an	SAQ A, SAQ A-EP ou SAQ D + Attestation de conformité (AOC)
Niveau 3	De 20 000 à 1 million de transactions en ligne par an	SAQ A, SAQ A-EP ou SAQ D + Attestation de conformité (AOC)
Niveau 4	Moins de 20 000 transactions en ligne OU jusqu'à 1 million de transactions au total	SAQ A, SAQ A-EP ou SAQ D + Attestation de conformité (AOC)

Quelques questions-réponses rapides pour clarifier les choses

Comment puis-je m'assurer que mes scripts tiers sont conformes à PCI DSS 4.0 ? La mise à jour PCI DSS 4.0 impose aux organisations de tenir un inventaire de tous les composants système pertinents pour PCI DSS, y compris les logiciels personnalisés et les scripts tiers. Elle encourage également le passage des audits annuels à une surveillance continue de la sécurité, avec des révisions et mises à jour fréquentes des composants système et des logiciels. Là encore, nous pouvons vous aider. Notre niveau gratuit rend votre site conforme et sécurisé, nos niveaux payants augmentent la flexibilité et la sécurité.
Quand PCI DSS v4.0 entre-t-il en vigueur ? PCI DSS v4.0, effectif à partir du 31 mars 2024, introduit ces 64 nouvelles exigences. Si certaines sont immédiatement applicables, la plupart ne le seront qu'à partir du 31 mars 2025, offrant aux organisations une période de transition d'un an pour mettre en œuvre les exigences les plus complexes. Les exigences relatives aux scripts tiers entrent en vigueur en mars 2025.
Quel est l'impact de PCI DSS 4.0 sur les petites entreprises ou les startups ? PCI DSS 4.0 introduit des changements affectant toutes les entités traitant des données de titulaires de carte, avec des défis potentiels pour les petites entreprises et les startups en raison de leurs ressources limitées. Consultez les niveaux PCI ci-dessus.
Y a-t-il des pénalités en cas de non-conformité à PCI DSS 4.0 ? La non-conformité à PCI DSS 4.0 peut entraîner des pénalités telles que des amendes, une augmentation des frais de transaction, voire la révocation de la capacité à traiter des cartes. La conformité est obligatoire pour toutes les entités traitant des données de titulaires de carte, et le non-respect de ces exigences peut entraîner des dommages financiers et réputationnels significatifs. Il est donc crucial pour toutes les organisations traitant des transactions par carte de paiement de comprendre et de maintenir leur conformité à ces exigences.
Quelles sont les meilleures pratiques pour la surveillance continue de la sécurité dans le cadre de PCI DSS 4.0 ? Dans le cadre de PCI DSS 4.0, la surveillance continue de la sécurité peut être renforcée en mettant en œuvre la segmentation réseau, en privilégiant l'automatisation aux méthodes d'échantillonnage traditionnelles, et en adoptant une approche zero-trust. Cela inclut la vérification quotidienne de tous les équipements réseau et l'utilisation d'outils automatisés pour la détection et la priorisation continues des risques. cside a été conçu pour s'assurer que ces exigences spécifiques de PCI DSS 4.0 relatives aux scripts tiers sont respectées.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Couverture sombre du blog montrant trois menaces de scripts d'affiliation : redirections silencieuses, vol de commissions via UTM et injection d'identifiant d'affiliation frauduleux

Comment les scripts d'affiliation compromis volent les revenus des casinos en ligne

Les scripts d'affiliation compromis redirigent joueurs et volent commissions sur les pages de casino, silencieusement et à grande échelle.

Visualisation abstraite bleu foncé de connexions réseau traversant une passerelle circulaire

Corriger la gestion des timeouts TLS dans le service Edge de cside

Comment cside a amélioré la fiabilité TLS du service Edge en Rust en sortant le travail de handshake du chemin d'acceptation d'Axum vers des tâches Tokio bornées.

Comment Bloquer ClaudeBot sur Votre Site Web

ClaudeBot explore votre site pour entraîner les modèles Claude d'Anthropic. Voici comment le bloquer via robots.txt et plages d'IP, et ce qui échappe encore au blocage.

Comment Prévenir la Création de Faux Comptes : Pourquoi la Détection au Niveau du Navigateur Capte ce que la Vérification d'E-mail Manque

La vérification d'e-mail confirme qu'une boîte mail existe. Elle ne voit pas le navigateur. Voici pourquoi la détection au niveau du navigateur capte les faux comptes qu'elle manque.

Attaque de la chaîne d'approvisionnement Polyfill.io : chronologie complète, analyse et leçons (2024–2026)

Une chronologie complète et sourcée de l'attaque Polyfill.io, de la vente du domaine en 2024 aux sanctions contre Funnull en 2025, et comment la supprimer aujourd'hui.

Couverture sombre du blog cside avec fond de pixels bleus et trois coches : pourquoi les règles de vélocité ratent les agents de test de cartes IA, les signaux navigateur qui les révèlent et comment bloquer le paiement avant le checkout

Comment Bloquer les Agents de Test de Cartes Basés sur l'IA

Les agents IA de test de cartes sondent les flux de paiement avec de vrais navigateurs. Découvrez les signaux qui les exposent avant la finalisation d'une transaction.

Plateforme de sécurité cside classifiant plusieurs connexions d'agents IA — détection d'agents au niveau du navigateur et gestion de la confiance

Comment choisir une solution de détection des agents IA

Guide en cinq étapes pour les RSSI évaluant des solutions de détection des agents IA : architecture, classification, profils de fournisseurs et méthodologie de POC.

Couverture de blog cside montrant une interface navigateur filtrant le trafic des bots et agents IA en chemins approuvés et bloqués

Meilleures Plateformes de Gestion de Confiance des Bots et Agents Comparées (2026)

Forrester définit la catégorie. cside, DataDome, HUMAN Security, Kasada et Arkose Labs comparés sur la couche de détection, l'intention et la couverture agentique.

bouclier de sécurité cside surveillant le parcours du curseur navigateur — détection d'agents IA au niveau navigateur

Comment Bloquer OpenAI Operator sur Votre Site Web

OpenAI Operator navigue votre site comme un utilisateur réel. Apprenez à le détecter via les signaux navigateur et quand ne pas le bloquer.

DBSC face à l'empreinte d'appareil : ce que la sécurité de session de Chrome ne couvre pas

Le DBSC de Chrome bloque le rejeu de cookies volés, mais reste limité à Chrome, post-connexion et sans identité d'appareil. Voici la fraude qu'il laisse.