Conformité PCI DSS : la liste de contrôle annuelle
La conformité à la norme PCI DSS (Payment Card Industry Data Security Standard) n’est pas un simple exercice annuel, mais une démarche continue. Elle exige un suivi régulier afin de protéger les données des titulaires de carte, de maîtriser les risques et de rester prêt pour les audits tout au long de l’année.
Les écarts de conformité proviennent rarement d’un contrôle isolé manquant. Ils sont le plus souvent liés à l’accumulation de petites lacunes au fil du temps : scans trimestriels oubliés, correctifs appliqués en retard, preuves incomplètes ou encore périmètres mal définis et non réévalués lorsque les environnements évoluent.
Le plus frustrant est que ces faiblesses apparaissent souvent lorsque la période d’évaluation est déjà ouverte, laissant peu de marge de manœuvre pour réagir. Pour éviter les urgences de dernière minute et faciliter une conformité PCI DSS réellement continue, Outpost24 a conçu une checklist annuelle structurée par trimestre, afin de vous accompagner pas à pas tout au long de l’année.
À qui s’applique la norme PCI DSS ?
La norme PCI DSS s’applique à toute organisation qui stocke, traite ou transmet des données de cartes de paiement. Cela inclut les commerçants qui acceptent les paiements par carte, que ce soit en point de vente ou en ligne, mais aussi les prestataires de services et les tiers dont les systèmes ou les accès peuvent influencer la sécurité de l’environnement des données des titulaires de carte (CDE).
Parmi eux, on retrouve notamment les fournisseurs tiers tels que :
- Les fournisseurs d’hébergement et de cloud
- Les passerelles de paiement
- Les fournisseurs de services gérés (MSP)
- Les fournisseurs de logiciels
- Les partenaires connectés aux environnements de traitement des paiements
Le type d’évaluation PCI DSS requis dépend du rôle de l’organisation, du volume de transactions et de l’environnement de paiement. Ces exigences sont définies par les marques de cartes et les banques acquéreuses, telles qu’American Express, Discover, JCB, Mastercard, Visa ou UnionPay.
Principaux documents de validation PCI DSS et personnes responsables
| Document | Qui le prépare | De quoi s’agit-il ? |
|---|---|---|
| Rapport de conformité (ROC) | Évaluateur de sécurité qualifié (QSA) | Évaluation PCI DSS complète pour les commerçants ou prestataires de services de niveau 1 |
| Questionnaire d’auto-évaluation (SAQ) | Commerçant ou prestataire de services | Auto-évaluation de la conformité, adaptée au volume de transactions et au type de modèle de paiement pour les commerçants et prestataires de niveau inférieur |
| Rapport d’analyse et attestation d’un fournisseur d’analyse agréé (ASV) | ASV, par exemplenla solution de conformité PCI d’Outpost24 | Scan externe de vulnérabilité et attestation de conformité PCI DSS |
Liste de contrôle annuelle de conformité PCI DSS d’Outpost24
Q1 (janvier-mars) : examen et planification
Objectif: établir une vision claire de votre situation actuelle en matière de conformité, confirmer les exigences PCI DSS applicables et définir votre approche d’évaluation ainsi que les actions nécessaires pour obtenir un résultat positif.
À surveiller: les hypothèses ou erreurs introduites à ce stade ont tendance à persister et peuvent se traduire plus tard par des échecs de scan, des preuves incomplètes ou des résultats d’audit inattendus.
| Mois | Actions clés | Objectif |
|---|---|---|
| Janvier | 1. Confirmer les exigences d’évaluation PCI DSS auprès des marques de paiement et des banques acquéreuses. 2. Examiner les résultats des scans ROC, SAQ et ASV de l’année précédente pour identifier les conclusions récurrentes et les lacunes en matière de preuves. 3. Vérifier que votre ASV figure toujours sur la liste des fournisseurs agréés par le PCI Security Standards Council. 4. Déterminer la portée PCI pour s’assurer que tous les systèmes connectés à Internet concernés sont correctement identifiés. | Obtenir une vue d’ensemble complète et précise des exigences PCI DSS, de la portée et des dépendances externes afin de prévenir tout manquement lors de l’évaluation ultérieure. |
| Février | 1. Examinez et testez les hypothèses de segmentation. 2. Effectuez des analyses trimestrielles des vulnérabilités internes conformément à l’exigence 11.3.1 de la norme PCI DSS, qui impose une analyse interne régulière des systèmes concernés. | Vérifier que la portée et la segmentation PCI sont correctes et identifier rapidement tout point faible ou problème de configuration interne. |
| Mars | 1. Effectuer des analyses trimestrielles de vulnérabilité externe et corriger les problèmes identifiés, conformément à l’exigence 11.3.2 de la norme PCI DSS. | Valider l’exposition externe et réduire les risques avant que la correction et la surveillance des contrôles ne s’intensifient au deuxième trimestre. |
Q2 (avril-juin) : Tester et surveiller
Objectif: s’assurer que les contrôles de sécurité fonctionnent correctement et que les vulnérabilités sont identifiées et corrigées avant qu’elles ne s’accumulent.
À surveiller: les échecs répétés des analyses, souvent dus à des résultats non résolus, des exceptions non documentées ou des dérives de périmètre, qui apparaissent généralement à la suite de changements dans l’infrastructure.
| Mois | Actions clés | Objectif |
|---|---|---|
| Avril | 1. Examiner les résultats des analyses ASV et traiter toutes les remarques spéciales nécessitant une validation, telles que les services d’accès à distance ou les scripts accessibles de l’extérieur. 2. Vérifier les règles de pare-feu et les configurations d’accès pour confirmer leur conformité avec le périmètre PCI défini et les hypothèses de segmentation. 3. S’assurer que les pratiques de chiffrement et de gestion des clés restent conformes sur tous les systèmes concernés. 4. Surveiller les journaux et les alertes pour détecter toute activité suspecte ou non autorisée. | Confirmer que les contrôles de sécurité fonctionnent correctement et qu’aucune dérive de périmètre, lacune dans les contrôles ou problème d’analyse non résolu ne compromette la sécurité. |
| Mai | 1. Effectuer une analyse trimestrielle des vulnérabilités internes sur tous les systèmes concernés conformément l’exigence 11.3.2 de la norme PCI DSS. | Identifier les correctifs manquants et toute nouvelle lacune dans la configuration interne. |
| Juin | 1. Effectuer les analyses trimestrielles de vulnérabilités externes sur les systèmes connectés à Internet, conformément à l’exigence 11.3.2 de la norme PCI DSS. 2. Corriger les problèmes identifiés et répéter l’analyse si nécessaire pour obtenir un résultat satisfaisant. | Identifier et corriger toute lacune interne dans la configuration ou les correctifs afin de garantir une prochaine évaluation PCI DSS réussie. |
Q3 (juillet-septembre) : Valider et renforcer
Objectif: tester et affiner vos contrôles avant l’évaluation annuelle finale.
Conseil: la solution de conformité PCI DSS d’Outpost24 analyse en continu vos applications web connectées à Internet, détecte les dernières vulnérabilités et fournit des résultats vérifiés par nos testeurs certifiés, tout en minimisant les faux positifs pour une protection continue.
| Mois | Actions clés | Objectif |
|---|---|---|
| Juillet | 1. Réaliser des tests d’intrusion internes sur tous les systèmes concernés afin de se conformer aux exigences 11.4.2 et 11.4.3 de la norme PCI DSS. 2. Réaliser des tests d‘intrusion externes indépendants sur les systèmes connectés à Internet. Examiner les résultats des tests d’intrusion et hiérarchiser les mesures correctives. 3. Tester votre plan d’intervention en cas d’incident, y compris les rôles, les procédures d’escalade et de communication. 4. Examiner les attestations de conformité (AOC) des tiers. | Valider de manière indépendante l’efficacité des contrôles de sécurité, confirmer la conformité des tiers et remédier aux faiblesses critiques. |
| Août | 1. Effectuer des analyses de vulnérabilité après application des mesures correctives. 2. Vérifier l’inventaire des actifs et la localisation des données des titulaires de cartes. | Vérifier que les mesures correctives ont été efficaces et que la portée de la norme PCI DSS reflète fidèlement votre environnement actuel. |
| Septembre | 1. Effectuez des analyses de vulnérabilité externes sur les systèmes concernés. | Confirmer que l’exposition externe reste maîtrisée et que les résultats indiquent un statut conforme. |
Q4 (octobre-décembre) : Réaliser l’évaluation annuelle et réinitialiser pour le cycle suivant
Objectif: finaliser votre validation PCI DSS, corriger les dernières lacunes et préparer votre programme de conformité pour l’année suivante.
Important: pour réussir l’analyse ASV, toutes les vulnérabilités avec un score CVSS ≥ 4,0 doivent être corrigées. Assurez-vous de traiter et de vérifier la résolution de ces problèmes avant de soumettre à nouveau votre demande.
| Mois | Actions clés | Objectif |
|---|---|---|
| Octobre | 1. Réaliser l’évaluation PCI DSS annuelle (ROC ou SAQ). 2. Recueillir et examiner les preuves pour tous les contrôles concernés. 3. Résoudre tout problème de non-conformité identifié lors de l’évaluation. 4. Finaliser et soumettre votre AOC. 5. Joindre l’ASC ASV à votre soumission ROC ou SAQ, comme l’exige la norme PCI DSS. 6. Documenter les enseignements tirés et mettre à jour votre feuille de route en matière de conformité. | Valider officiellement la conformité PCI DSS, obtenir un résultat d’évaluation satisfaisant et identifier les améliorations à apporter pour le prochain cycle. |
| Novembre | 1. Effectuer une analyse interne des vulnérabilités sur tous les systèmes concernés. | Vérifier qu’aucune nouvelle lacune en matière de configuration ou de correctifs n’a été introduite à la suite de l’évaluation annuelle. |
| Décembre | 1. Effectuer les analyses trimestrielles de vulnérabilités externes sur les systèmes connectés à Internet. 2. Corriger les problèmes identifiés et répéter les tests si nécessaire. | Maintenir la fréquence des analyses requise et garantir la conformité continue pour l’année suivante. |
Comment Outpost24 peut vous aider à atteindre la conformité PCI DSS
Outpost24 est un fournisseur d’analyses approuvé (ASV) par le Conseil des normes de sécurité PCI depuis plus de 20 ans, avec une solide expérience dans l’accompagnement des organisations pour atteindre et maintenir la conformité PCI DSS.
La solution de conformité PCI DSS d’Outpost24 reflète cette expertise en combinant dans une seule solution l’analyse ASV certifiée, les tests d’intrusion et les rapports de conformité, ce qui permet de se préparer aux audits tout au long de l’année simplement et efficacement. En prenant en charge l’analyse trimestrielle des vulnérabilités internes et externes, la validation ASV et le suivi des mesures correctives, notre solution vous aide à maintenir la fréquence des analyses, obtenir des résultats fiables et conserver toutes les preuves nécessaires pour les soumissions ROC ou SAQ.
Pour les organisations disposant de ressources limitées ou faisant face à des délais serrés, nos services de conformité PCI gérés offrent un soutien pratique. Si vous avez besoin de résultats rapides pour un périmètre défini, notre équipe peut réaliser un scan PCI DSS en 24 à 48 heures.
Contactez-nous pour en savoir plus sur notre solution de conformité PCI DSS ou pour organiser une démonstration en direct.
About the Author
