Créée aux Etats-Unis, la norme PCI DSS impose aux acteurs stockant des données bancaires Outre-Atlantique de les sécuriser en se pliant à douze exigences. En Europe, ce dispositif n'est pas imposé par le législateur. Et pourtant, la norme PCI DSS fait de plus en plus d'émules, créant un nouveau marché pour les sociétés de conseil et les SSII. Explications de Julien Champagne, le directeur commercial France et Espagne de Safenet.
Distributique.com : Qu'est ce que la norme PCI DSS ?
Julien Champagne : cette norme de sécurité informatique, dont l'acronyme signifie Payment Card Industry Data Security, vient des Etats-Unis où elle est mise en oeuvre depuis deux à trois ans. Elle est encadrée par l'organisation PCI Security Standard Council dont les fondateurs sont notamment les principaux acteurs nord américains et mondiaux du secteur bancaire. On peut citer MasterCard, Visa ou encore American Express. Elle vise à protéger les données stockées sur des cartes bancaires sur la base de 12 grands critères que doivent par exemple respecter les sites de commerce en ligne et les banques tant que ces informations sont hébergées dans leurs systèmes informatiques. Outre-Atlantique, la loi leur impose de se conformer à cette norme sous peine de sanction. En revanche, les entreprises qui stockent des données bancaires en Europe n'ont aucune obligation légale. Ce qui ne signifie par pour autant que la norme PCI DSS ne gagnent pas du terrain parmi elles.
Distributique.com : Qu'est-ce qui amène des entreprises qui ne sont pas soumises à cette obligation à s'y conformer ?
Julien Champagne : Lorsque l'on fait du commerce sur Internet, il n'y a pas de frontières. La mondialisation du commerce entraîne aussi des échanges importants entre les entreprises européennes et américaines. Ces dernières sont soucieuses de voir leurs partenaires étrangers s'astreindre aux règles qu'elles suivent elles-mêmes. En outre, les acteurs du système bancaire français ont annoncé début 2009 qu'il soutiendraient la diffusion de cette norme. Toutes ces raisons font que PCI DSS s'impose de plus en plus comme une best practice en Europe.
Distributique.com : Safenet se montre prompt à faire la promotion de la norme PCI DSS. Comment la société se positionne-t-elle sur ce marché ?
Julien Champagne : Safenet est un acteur de premier plan dans le monde de la finance. Nous sécurisons par exemple les échanges interbancaires du réseau SWIFT. En ce qui concerne la mise en conformité des entreprises avec la norme PCI DSS, nous nous positionnons comme un acteur global. Nous sommes capables de fournir des solutions qui permettent à une entreprise de se conformer à plusieurs des 12 critères imposés par la norme. Nous proposons par exemple des boîtiers cryptographiques (HSM), des solutions de chiffrement LAN/WAN ou encore des boîtiers Datasecure pour la protection des bases de données et des applications.
Distributique.com : Quelles sont les perspectives pour les prestataires informatiques, en termes de fourniture de services autour de solutions liées à la mise en oeuvre de la norme PCI DSS ?
Julien Champagne : En règle générale, la mise en oeuvre de ce type de projet passe en amont par une phase d'audit du système informatique. Il s'agit de trouver les points qui constituent une menace puis d'estimer sa dangerosité par rapport aux données logiques. Cette étape est souvent réalisée par une société de conseil. Viennent ensuite les phases d'intégration, d'accompagnement, de développement et de transfert de compétences qui sont du ressort des SSII. Pour le moment, il est clair que les grands comptes sont en pointe sur le sujet. Mais les TPE et les PME vont être forcées de s'y intéresser, quand ce n'est pas déjà le cas pour une partie d'entre elles.
Suivez-nous