Écosystèmes de paiement : chiffrer les données ne suffit pas !

Julien Champagne
Directeur régional des ventes France et Europe du Sud, SafeNet

Toute transaction financière repose sur un écosystème complexe qui compte de nombreux points de vulnérabilité. Dans ce contexte, chiffrer les données est indispensable, mais ne suffit pas. Un écosystème de paiement implique plusieurs intervenants – le commerçant, l’acheteur, le commutateur/ routeur, la banque et l’émetteur de cartes de paiement – et sa robustesse correspond à son maillon le plus faible. Internet constitue un autre élément important de la vulnérabilité. Aujourd’hui, la quasi-totalité des entreprises marchandes dispose d’un site de commerce électronique dont le rôle est de capturer et de traiter en toute sécurité les données des clients. Mais lorsqu’un client effectue un achat, l’entreprise perd le contrôle d’une grande partie des interactions associées à la transaction, dans la mesure où, pour accéder aux sites de commerce électronique, les clients emploient un large éventail d’appareils, de systèmes d’exploitation et de navigateurs. Les entreprises doivent donc protéger les données de leurs clients le plus tôt possible au cours du processus transactionnel. Et nous parlons là aussi bien de chiffrement que de prise de conscience et d’organisation.

Un autre type de vulnérabilité réside dans l’écart entre la conformité et la sécurité. Les commerçants doivent se conformer à une multitude d’exigences quant à la manière de gérer les données de leurs clients et de traiter les transactions, notamment la conformité à la réglementation PCI DSS (Payment Card Industry Data Security Standard). Or, ces instructions ne couvrent pas certains aspects clés de la vulnérabilité de l’écosystème de paiement.
Les entreprises doivent donc adopter un cadre où les données occupent une place centrale. Ce qui implique une approche de la protection des données reposant sur la « sécurisation des failles de sécurité », où les données sensibles sont protégées indépendamment du lieu où elles résident et où leur accès est limité, même si elles se trouvent dans un environnement non sécurisé et non contrôlé. Aujourd’hui, le chiffrement point à point (P2PE) constitue la méthode de protection la plus efficace. Au lieu de se concentrer sur des points de vulnérabilité spécifi ques, le P2PE utilise des terminaux de paiement spéciaux pour chiffrer les données associées aux cartes de paiement le plus tôt possible au cours du processus de capture, en veillant à ce que les données restent chiffrées en permanence jusqu’à ce qu’elles atteignent la passerelle de paiement. Cette approche permet non seulement d’augmenter la sécurité, mais également de réduire de manière considérable le champ d’application de la réglementation PCI DSS. Et pourtant, selon l’étude SafeNet Secure Payment Survey, moins d’un quart des professionnels déploient actuellement des solutions P2PE.

Les entreprises qui traitent des informations sensibles (cartes de paiement, informations personnelles identifiables, enregistrements confidentiels…) doivent aussi mettre en place des garde-fous contre les menaces de sécurité, et pour garantir la conformité aux standards de confidentialité et de sécurité.
Là encore, le chiffrement n’apporte à lui seul qu’une partie de la solution. Les clés de chiffrement doivent être conservées de manière fiable et sécurisée. Pourtant, et c’est très surprenant, nombre d’entreprises commettent l’erreur de stocker les clés de chiffrement au même endroit que les données, exposant ainsi des informations sensibles à des risques considérables. La solution ? Investir dans une plate-forme centralisée ou dans une stratégie de gestion des clés de chiffrement basée sur des standards permettant de les suivre pendant la totalité du cycle de vie. Cette stratégie doit inclure des méthodes spécifiques limitant l’accès aux clés, définir la façon dont elles sont délivrées et distribuées, et assurer leur protection dès qu’elles sont stockées. Faute de respecter ces conditions, les clés pourront être copiées, modifiées, voire imitées par un hacker, qui pourrait alors accéder à toutes les données du titulaire de la carte. Donc chiffrer oui, mais laisser la clé sous le paillasson, non.