Le Clusif informe sur les évolutions majeures de PCI DSS 3.0

Le Club de la sécurité de l’information français, le Clusif, vient de publier un document de synthèse visant à informer les RSSI français sur les principales évolutions de la version 3.0 du standard PCI DSS. Paru fin 2013, cette nouvelle mouture est applicable depuis le début de cette année. Mais elle sera exigible au premier janvier 2015.

Le Clusif appréhende largement PCI DSS 3.0 comme l’apport de clarifications, conseils ou « orientations » et s’attache à présenter « certaines évolutions identifiées, leurs incidences sur l’implémentation par l’organisme et le contrôle de la conformité » par l’auditeur de sécurité dit qualifié. Et de relever l’une des principales nouveautés du standard : « la prise en compte des exigences PCI DSS dans l’activité quotidienne des équipes impliquées et non pas seulement à l’échéance de jalons récurrents dans l’année. » De quoi faire de la sécurité et de la conformité aux exigences du standard une composante à part entière de l’ensemble des processus de l’entreprise associés au traitement de données de paiement.

Mais le Clusif retire également de cette nouveauté un constant affligeant, la « preuve s’il en est, que nombreuses encore seraient les sociétés qui n’appliquent PCI DSS qu’au coup par coup, avant chaque échéance d’audit de certification ». 

Le Club relève en outre que PCI DSS 3.0 précise le périmètre qu’il concerne, en particulier dans le domaine du commerce électronique, ou encore qu’il renforce les contraintes de gestion des identifiants des utilisateurs. Et cela tombe bien : CyberArk vient pour sa part de publier un livre blanc dédié à ce sujet précis de la sécurisation des comptes à privilèges. Ce n’est pas un hasard : selon l’éditeur, ces comptes « ont été impliqué dans 100 % des attaques avancées » alors même « qu’il peut être très difficile de les sécuriser ».