PCI-DSS
Norme de sécurité des données de cartes bancaires maintenue par le PCI Security Standards Council — l'exigence 12.6 impose un programme formel de sensibilisation.
PCI-DSS — Payment Card Industry Data Security Standard — est maintenu par le PCI Security Standards Council (PCI SSC), organisme fondé par American Express, Discover, JCB, Mastercard et Visa. Il s’applique à toute organisation qui stocke, traite ou transmet des données de carte bancaire, quelle que soit sa taille ou sa zone géographique. C’est une norme contractuelle imposée par les réseaux de cartes, pas une loi — mais pour tout commerçant ou prestataire qui touche au PAN (primary account number), elle n’est pas optionnelle.
La version en vigueur est PCI-DSS v4.0.1 (obligatoire depuis le 31 mars 2025, date du retrait définitif de la v3.2.1). La norme est structurée en 12 exigences regroupées sous 6 objectifs de contrôle. Pour le sujet risque humain, la section pertinente est :
- Exigence 12.6 — Security Awareness Education. Le personnel doit être sensibilisé à la politique et aux procédures de sécurité de l’environnement de données de cartes.
- 12.6.1 — programme formel établi et actif.
- 12.6.2 — révision et mise à jour du programme au moins annuellement et lors d’évolutions du paysage de menaces.
- 12.6.3 — accusé de compréhension par le personnel au moins annuellement.
- 12.6.3.1 et 12.6.3.2 (nouveautés v4.0) — le programme doit traiter spécifiquement le phishing et les attaques apparentées et l’usage acceptable des technologies utilisateur.
Autres propriétés notables :
- Évaluation par tiers. La conformité est validée par un QSA (Qualified Security Assessor) pour les marchands et prestataires de grande taille, ou par auto-évaluation (SAQ) pour les plus petits.
- Recoupement avec d’autres référentiels. Un environnement de données de cartes inclus dans un périmètre SOC 2 ou ISO 27001 hérite généralement de preuves communes.
- Le basculement v4.0 vers les approches personnalisées permet de satisfaire l’objectif d’une exigence par d’autres preuves que le contrôle prescrit — ouvrant la porte à la preuve comportementale en remplacement des seuls logs de complétion.
La mention explicite du phishing en 12.6.3.1 reflète ce que le PCI SSC observe dans les données de violation : le chemin humain vers l’environnement de cartes est désormais plus fréquent que le chemin technique.
Termes liés
- SOC 2Cadre d'attestation AICPA fondé sur cinq Trust Services Criteria — devenu le passage obligé pour vendre une SaaS B2B en Amérique du Nord.
- ISO/IEC 27001Norme internationale pour un Système de Management de la Sécurité de l'Information (SMSI) — le repère mondial de la certification sécurité.
- HIPAALoi fédérale américaine sur les données de santé protégées — la Security Rule impose explicitement un programme de sensibilisation et de formation du personnel.
- HDS (Hébergeur de Données de Santé)Certification française, délivrée par l'ANS, obligatoire pour toute organisation qui héberge des données de santé pour le compte d'un responsable de traitement français.
- Preuve comportementaleArtefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.