Conformité PCI DSS : sécuriser les paiements en ligne
Toute entreprise qui accepte, traite ou stocke des données de carte bancaire doit se conformer à la norme PCI DSS (Payment Card Industry Data Security Standard). En 2025, la version 4.0.1 a durci les exigences avec 64 nouveaux contrôles. La non-conformité expose à des amendes de 5 000 à 100 000 € par mois, à la perte du droit d’accepter les paiements par carte et, surtout, à des violations de données dévastatrices pour la réputation.
Qu’est-ce que PCI DSS et qui est concerné ?
PCI DSS est une norme mondiale créée par le PCI Security Standards Council (fondé par Visa, Mastercard, American Express, Discover et JCB). Elle s’applique à toute organisation qui touche aux données de porteurs de cartes : commerçants physiques et en ligne, prestataires de services de paiement, hébergeurs de plateformes e-commerce, et même les entreprises qui externalisent le paiement à un tiers. Si un numéro de carte transite par votre infrastructure, même brièvement, vous êtes concerné. La norme définit 12 exigences réparties en 6 domaines : réseau sécurisé, protection des données, gestion des vulnérabilités, contrôle d’accès, surveillance et tests, et politique de sécurité.
Les quatre niveaux de conformité
Le niveau de conformité dépend du volume de transactions annuelles. Le niveau 1 (plus de 6 millions de transactions Visa/an) exige un audit sur site par un QSA (Qualified Security Assessor) certifié. Le niveau 2 (1 à 6 millions) requiert un questionnaire d’auto-évaluation (SAQ) et un scan de vulnérabilité trimestriel par un ASV (Approved Scanning Vendor). Le niveau 3 (20 000 à 1 million de transactions e-commerce) suit les mêmes exigences que le niveau 2. Le niveau 4 (moins de 20 000 transactions e-commerce ou moins d’un million de transactions physiques) nécessite un SAQ et un scan ASV recommandé. La plupart des PME françaises relèvent du niveau 3 ou 4.
Les 12 exigences décryptées
Les exigences PCI DSS couvrent l’ensemble de la chaîne de sécurité. L’exigence 1 impose l’installation et la maintenance de pare-feu protégeant les données de porteurs de cartes. L’exigence 2 interdit les mots de passe par défaut et les paramètres de sécurité constructeur. L’exigence 3 exige la protection des données stockées (chiffrement, masquage, troncature). L’exigence 4 impose le chiffrement des transmissions sur les réseaux publics. Les exigences 5 et 6 couvrent la protection contre les malwares et le développement sécurisé. Les exigences 7, 8 et 9 traitent du contrôle d’accès logique et physique. Les exigences 10 et 11 portent sur la surveillance, les logs et les tests de sécurité. L’exigence 12 concerne la politique de sécurité de l’information. Un hébergement sécurisé conforme facilite le respect de nombreuses exigences techniques.
Réduire le périmètre PCI DSS
La stratégie la plus efficace pour simplifier la conformité est de réduire le périmètre PCI DSS. En utilisant un prestataire de paiement certifié PCI DSS niveau 1 (Stripe, Adyen, Mollie) avec une intégration client-side (Stripe Elements, Adyen Drop-in), les données de carte ne transitent jamais par vos serveurs. Votre SAQ passe du type D (le plus complet, 300+ questions) au type A (le plus simple, 22 questions). Cette approche réduit drastiquement les coûts et la complexité de conformité tout en maintenant une expérience de paiement fluide pour vos clients.
PCI DSS 4.0 : les nouveautés majeures
La version 4.0, obligatoire depuis mars 2025, introduit des changements significatifs. L’authentification multifacteur (MFA) est désormais requise pour tous les accès à l’environnement de données de cartes, pas seulement les accès administrateurs. Les scripts JavaScript exécutés dans le navigateur du client doivent être inventoriés et surveillés (contre les attaques Magecart). Les scans de vulnérabilité internes doivent être authentifiés. La gestion des risques passe d’une approche prescriptive à une approche personnalisée (customized approach), laissant plus de flexibilité aux entreprises matures. La surveillance IT continue est plus que jamais indispensable.
Odyssix vous accompagne vers la conformité PCI DSS
Odyssix propose un accompagnement complet à la conformité PCI DSS : évaluation du périmètre, choix de l’architecture de paiement, mise en œuvre des contrôles techniques, et préparation à l’audit. Notre service de maintenance informatique assure le maintien de la conformité dans la durée. Contactez-nous pour un diagnostic PCI DSS gratuit.
Articles complémentaires
À découvrir aussi
Questions fréquentes
Oui, mais à un niveau très réduit. Si les données de carte ne transitent jamais par vos serveurs (intégration Stripe Elements ou PayPal Checkout), vous relevez du SAQ A, le plus simple (22 questions). Vous devez tout de même remplir ce questionnaire annuellement et maintenir la sécurité de base de votre site.
Pour une PME niveau 4 avec Stripe/PayPal (SAQ A) : 2 000 à 5 000 €. Pour une PME niveau 3 (SAQ D) : 15 000 à 50 000 €. Pour une entreprise niveau 1 (audit QSA) : 50 000 à 200 000 € et plus. Le coût dépend fortement du périmètre et de l'architecture existante.
Les banques acquéreuses peuvent imposer des amendes de 5 000 à 100 000 € par mois de non-conformité. En cas de violation de données, les pénalités augmentent considérablement. L'entreprise peut perdre le droit d'accepter les paiements par carte. Les assureurs cyber peuvent refuser de couvrir un incident si la non-conformité est avérée.
Rédigé par l'équipe Odyssix
Experts IT, Cybersécurité & Digital depuis 2018
Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.
Besoin d'en savoir plus ?
Contactez nos experts pour une démonstration personnalisée.
