Sécurité de paiement

TS 1
INTRODUCTION

Toutes les entreprises devraient se préoccuper de la sécurité des paiements ;

71 % des entreprises ont déclaré avoir été ciblées par la fraude aux paiements en 2021.

La fraude aux paiements peut être incroyablement coûteuse, la violation moyenne de données
aux États-Unis coûtant 9,44 millions de dollars.

Les entreprises doivent donner la priorité à la sécurité des paiements pour protéger les
informations sensibles de leurs clients, conserver leur confiance et éviter des pertes financières
coûteuses.

TS 2
QU'EST-CE QUE LA SÉCURITÉ DES PAIEMENTS ?

La sécurité des paiements fait référence aux systèmes, processus et mesures employés pour
protéger les transactions financières contre les accès non autorisés, les violations de données et la
fraude.
Pour les entreprises en ligne et hors ligne, il est important de garantir la sécurité des paiements pour
maintenir la confiance des clients, minimiser les pertes financières et se conformer aux
réglementations et aux normes du secteur.

TS 3
TYPES DE SÉCURITÉ DE PAIEMENT

Il existe plusieurs types de mesures et de technologies de sécurité des paiements que les entreprises
peuvent mettre en œuvre pour protéger les transactions financières et les données des clients.
Voici quelques-uns des types les plus courants :
1) le cryptage
2) la tokenisation
3) l'authentification
4) Détection et prévention des fraudes
5) Conformité aux normes de sécurité des données de l'industrie des cartes de paiement
6) Passerelles de paiement sécurisées
7) Pare-feu et sécurité du réseau
8) Mises à jour et correctifs de sécurité

TS 4
CRYPTAGE

Le cryptage protège les données sensibles des clients et les transactions financières contre l'accès
non autorisé, la falsification et le vol. Il existe deux principaux types de cryptage : le cryptage
symétrique et le cryptage asymétrique. Le cryptage symétrique implique l'utilisation de la même
clé pour verrouiller et déverrouiller les données, tandis que le cryptage asymétrique, également
connu sous le nom de "cryptage à clé publique", utilise deux clés : une clé publique pour le
verrouillage et une clé privée pour le déverrouillage des données. En général, le cryptage
asymétrique est considéré comme plus sûr car la clé privée n'est pas partagée.

Les entreprises utilisent largement des protocoles de cryptage tels que Secure Sockets Layer (SSL)
et Transport Layer Security (TLS) pour sécuriser la transmission des données entre les navigateurs
des clients et les sites web des entreprises ou les plateformes de paiement. Le cryptage SSL/TLS
utilise une combinaison de cryptage symétrique et asymétrique pour établir une connexion
sécurisée et protéger les données pendant la transmission.

TS 5
CRYPTAGE

Les entreprises doivent utiliser des algorithmes de cryptage puissants, des protocoles actualisés et
des pratiques de gestion des clés adéquates, notamment la rotation régulière des clés et leur
stockage sécurisé. Des évaluations et des mises à jour régulières de vos systèmes de cryptage sont
nécessaires pour faire face aux nouvelles menaces et garantir le plus haut niveau de protection des
données des clients.

TS 6
LA TOKENISATION

La tokenisation protège les informations de paiement sensibles en les remplaçant par des jetons
uniques qui n'ont aucune valeur intrinsèque s'ils sont compromis. Elle dissuade les acteurs frauduleux
de voler les informations de paiement en les convertissant en une forme qui, si elle est volée, est
inutile. Ce processus réduit considérablement le risque d'accès non autorisé et de violation des
données et maintient la conformité avec les normes et réglementations du secteur.

La symbolisation des paiements remplace les données sensibles, telles que les numéros de carte de
crédit, par des jetons uniques générés par un système sécurisé. Ces jetons sont utilisés pour
référencer les informations de paiement originales, qui sont stockées dans un coffre-fort centralisé.
Les jetons eux-mêmes ne peuvent pas être utilisés pour effectuer des transactions frauduleuses ou
faire l'objet d'une rétro-ingénierie pour révéler les données de paiement originales.

TS 7
L'AUTHENTIFICATION

L'authentification est une mesure fondamentale de sécurité des paiements qui permet de vérifier
l'identité des utilisateurs qui tentent d'accéder à une transaction ou de la terminer. Il existe plusieurs
types d'authentification, notamment:

• L'authentification à facteur unique (SFA) : Elle requiert une seule forme d'identification,
généralement un mot de passe ou un code PIN.

• L'authentification à deux facteurs (2FA) : Requiert deux formes d'identification, telles qu'un
mot de passe et un code à usage unique envoyé à un appareil enregistré.

• l'authentification multifactorielle (MFA) : Requiert trois formes d'identification ou plus, qui

peuvent inclure des données biométriques, des questions de sécurité ou des jetons physiques.

TS 8
L'AUTHENTIFICATION

Pour les entreprises, l'authentification 2FA ou MFA peut considérablement améliorer la sécurité des
paiements en ajoutant une couche supplémentaire de protection contre les transactions non
autorisées. Voici quelques-unes des méthodes d'authentification standard utilisées dans le traitement
des paiements :

• Valeur de vérification de la carte (CVV) : Un code à trois ou quatre chiffres imprimé sur les
cartes de crédit et de débit, que les clients doivent fournir lors de transactions en ligne ou par
téléphone pour prouver qu'ils sont en possession physique de la carte.

• Mot de passe à usage unique (OTP) : Un code unique, sensible au temps, envoyé à l'appareil
enregistré du client (par exemple, par SMS ou par une application d'authentification) que le client
doit saisir pour effectuer une transaction.

• Authentification biométrique : utilisation de caractéristiques physiques uniques, notamment la

reconnaissance faciale, les empreintes digitales ou le balayage de l'iris, pour vérifier l'identité du
client.

TS 9
LA DÉTECTION ET LA PRÉVENTION DE LA FRAUDE

Ces systèmes aident les entreprises à identifier et à prévenir les transactions frauduleuses en
surveillant les schémas de transaction, les comportements des clients et d'autres facteurs de risque.

Des techniques telles que les algorithmes d'apprentissage automatique, l'analyse du comportement et
l'évaluation des risques permettent de détecter les anomalies et de prévenir la fraude.

TS 10
CONFORMITÉ À LA NORME DE SÉCURITÉ DES DONNÉES DE
L'INDUSTRIE DES CARTES DE PAIEMENT

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble
de normes de sécurité conçues pour garantir que toutes les entreprises qui traitent, stockent ou
transmettent des informations de cartes de crédit maintiennent un environnement sécurisé.

La conformité à la norme PCI DSS aide les entreprises à protéger les données des clients, à
minimiser le risque de violation des données et à éviter les amendes ou pénalités potentielles.

Il est important d'atteindre et de maintenir la conformité à la norme PCI DSS pour protéger les
informations de paiement sensibles de vos clients et démontrer votre engagement en matière de
sécurité.

TS 11
CONFORMITÉ À LA NORME DE SÉCURITÉ DES DONNÉES DE
L'INDUSTRIE DES CARTES DE PAIEMENT

Pour garantir la conformité à la norme PCI DSS, les entreprises doivent prendre les mesures
suivantes :

 Procéder à une évaluation approfondie des risques afin d'identifier les vulnérabilités
potentielles de l'infrastructure de traitement des paiements.

 Mettre en œuvre les mesures de sécurité nécessaires, telles que le cryptage, la symbolisation et
des contrôles d'accès rigoureux, pour faire face aux risques identifiés.

 Surveillez, testez et mettez à jour régulièrement vos systèmes, réseaux et applications afin de
maintenir un environnement sécurisé et de garder une longueur d'avance sur les nouvelles
menaces.

TS 12
CONFORMITÉ À LA NORME DE SÉCURITÉ DES DONNÉES DE
L'INDUSTRIE DES CARTES DE PAIEMENT

 Formez vos employés aux exigences de la norme PCI DSS et aux meilleures pratiques pour
traiter les données des titulaires de cartes en toute sécurité.

 Travaillez avec des fournisseurs de traitement des paiements conformes à la norme PCI DSS,
tels que Stripe, afin de réduire la charge de travail liée à vos efforts de mise en conformité et
de garantir le niveau de sécurité le plus élevé pour les données de vos clients.

TS 13
PASSERELLES DE PAIEMENT SÉCURISÉ

Les passerelles de paiement sécurisé facilitent le traitement des transactions par carte de crédit tout
en protégeant les données de paiement des clients contre les accès non autorisés et la fraude.

En fournissant un canal sécurisé pour la transmission des informations de paiement entre le client,
l'entreprise et le processeur de paiement ou la banque acquéreuse, les passerelles de paiement sont
un élément important d'un environnement de paiement hautement sécurisé.

Les principales caractéristiques des passerelles de paiement sécurisées sont les suivantes:

TS 14
PASSERELLES DE PAIEMENT SÉCURISÉ

o Cryptage Les passerelles de paiement sécurisées utilisent des protocoles de cryptage tels que
SSL et TLS pour crypter les données de paiement sensibles pendant la transmission.Ces
protocoles garantissent que la communication entre le navigateur du client et la passerelle de
paiement reste sécurisée, protégeant ainsi les données contre l'interception ou la falsification.

o Tokenisation De nombreuses passerelles de paiement sécurisées proposent des services de

tokenisation pour renforcer encore la sécurité des paiements. La tokenisation, qui remplace les
données de paiement sensibles par des jetons uniques inutilisables en cas de compromission,
contribue à protéger les données des clients, réduit le risque de violation des données et simplifie
la mise en conformité avec la norme PCI DSS pour les entreprises.

TS 15
 PASSERELLES DE PAIEMENT SÉCURISÉ

o Authentification et prévention de la fraude Les passerelles de paiement sécurisées mettent en

œuvre diverses méthodes d'authentification, telles que les contrôles CVV/CVC, 3D Secure et
l'authentification biométrique, pour vérifier l'identité du client et empêcher les transactions non
autorisées. En outre, elles emploient des systèmes de détection et de prévention de la fraude
avancés qui utilisent l'apprentissage automatique, l'analyse du comportement et l'évaluation des
risques pour identifier et bloquer les transactions frauduleuses en temps réel.

o Conformité aux normes du secteur Les passerelles de paiement sécurisées adhèrent à la norme
PCI DSS et à d'autres normes pertinentes du secteur, ce qui garantit qu'elles maintiennent un
environnement sécurisé pour le traitement, le stockage et la transmission des données des
titulaires de cartes. En travaillant avec une passerelle de paiement conforme, les entreprises n'ont
pas à se soucier de répondre à ces exigences de manière indépendante.

TS 16
PASSERELLES DE PAIEMENT SÉCURISÉ

Disponibilité et fiabilité Une passerelle de paiement sécurisée doit maintenir un niveau élevé de
disponibilité et de fiabilité pour que les clients puissent effectuer des transactions sans interruption.
Une surveillance régulière, des mesures de redondance et une infrastructure solide permettent à la
passerelle de traiter les transactions de manière sûre et efficace.

Lorsque vous choisissez une passerelle de paiement, tenez compte des caractéristiques de sécurité, de
la conformité à la norme PCI DSS, de la facilité d'intégration avec vos systèmes existants, des frais
de transaction et de l'assistance à la clientèle.

En vous associant à une passerelle de paiement réputée et sécurisée - ou en choisissant un processeur

de paiement tel que Stripe qui offre des fonctionnalités de passerelle de paiement - vous pouvez offrir
à vos clients une expérience de paiement simple et sécurisée tout en protégeant votre entreprise des
risques financiers et de réputation potentiels.

TS 17
PARE-FEU ET SÉCURITÉ RÉSEAU

Le pare-feu et la sécurité du réseau contribuent à protéger l'infrastructure de paiement et les

données confidentielles des clients contre les menaces externes, telles que les pirates
informatiques, les logiciels malveillants et autres acteurs malveillants.

Un pare-feu est un type de système de sécurité qui agit comme un gardien pour un réseau
informatique, contrôlant les informations qui entrent et sortent en fonction de règles spécifiques.

Les pares-feux créent une barrière de protection entre un réseau de confiance à l'intérieur d'une
entreprise, tel que le système de paiement, et le monde extérieur non fiable, tel que l'internet, ce
qui permet d'empêcher tout accès non autorisé au réseau.

Les pare-feu peuvent être matériels, logiciels ou une combinaison des deux.

TS 18
PARE-FEU ET SÉCURITÉ RÉSEAU

Voici quelques aspects essentiels de la sécurité des pare-feu et des réseaux pour les entreprises :

 Segmentation du réseau La division du réseau en segments plus petits et isolés permet de

limiter les dégâts potentiels d'une faille de sécurité. En conservant les données et les systèmes
de paiement sensibles dans des segments de réseau distincts, les entreprises peuvent mieux
protéger ces actifs contre les accès non autorisés et minimiser la charge de travail liée à la
conformité à la norme PCI DSS.

 Systèmes de détection et de prévention des intrusions (IDPS) Les solutions IDPS surveillent
le trafic réseau à la recherche d'activités suspectes, détectent les menaces potentielles et
prennent des mesures pour prévenir ou atténuer ces menaces. En utilisant une combinaison de
méthodes, telles que la vérification des menaces connues et l'analyse des règles de
communication, les solutions IDPS peuvent identifier et bloquer de nombreux types d'attaques,
même celles qui sont toutes nouvelles.

TS 19
PARE-FEU ET SÉCURITÉ RÉSEAU

 Contrôles d'accès solides Les contrôles d'accès tels que l'authentification multifactorielle (MFA),
le contrôle d'accès basé sur les rôles (RBAC) et le "principe du moindre privilège" - qui consiste à
accorder aux individus ou aux entités le niveau d'accès minimum nécessaire pour effectuer leurs
tâches ou fonctions spécifiques liées au traitement des paiements - contribuent à garantir que seuls
les utilisateurs autorisés peuvent accéder aux ressources du réseau et aux systèmes de paiement
sensibles.

 Investissez dans des solutions de pare-feu et de sécurité réseau qui correspondent aux besoins
spécifiques de votre entreprise et à votre profil de risque. En mettant en œuvre ces mesures de
sécurité, vous pouvez protéger votre infrastructure de paiement contre les menaces extérieures,
sauvegarder les données de vos clients et préserver la réputation de votre entreprise.

TS 20
MISES À JOUR DE LA SÉCURITÉ ET CORRECTIFS

Les éditeurs de logiciels, les fabricants de matériel et les fournisseurs de systèmes d'exploitation
publient des mises à jour de sécurité et des correctifs pour résoudre les vulnérabilités, bogues ou
autres problèmes de sécurité connus de leurs produits.

Les mises à jour et correctifs de sécurité réguliers sont des éléments essentiels au maintien d’un
environnement sécurisé pour les entreprises. Ils aident à protéger l’infrastructure de paiement, les
données des clients et d’autres systèmes critiques contre les vulnérabilités, les cyberattaques et les
accès non autorisés.

L'application régulière de ces mises à jour et correctifs aide les entreprises à :

 Corriger les vulnérabilités Les mises à jour et les correctifs résolvent les failles de sécurité ou
les faiblesses que les pirates pourraient exploiter pour obtenir un accès non autorisé à vos
systèmes ou voler des données sensibles. En restant à jour avec les correctifs de sécurité, vous
pouvez réduire le risque de violations de données et de cyberattaques.

TS 21
MISES À JOUR DE LA SÉCURITÉ ET CORRECTIFS

 Améliorer les performances Les mises à jour incluent souvent des améliorations de
performances, des corrections de bogues ou de nouvelles fonctionnalités qui peuvent améliorer la
stabilité, l'efficacité et les fonctionnalités globales de vos systèmes et logiciels.
 Maintenir la conformité Les exigences réglementaires imposent souvent aux entreprises
d'appliquer des mises à jour et des correctifs de sécurité en temps voulu pour maintenir la
conformité. La mise à jour régulière de vos systèmes peut vous aider à éviter les amendes ou les
pénalités associées à la non-conformité.

 Protégez-vous contre les menaces émergentes Les cybermenaces continuent d'évoluer à mesure
que les pirates informatiques découvrent de nouvelles vulnérabilités et développent de nouvelles
techniques d'attaque. L'application de mises à jour et de correctifs vous aide à garder une
longueur d'avance sur ces menaces émergentes et à maintenir un environnement sécurisé.

TS 22
MISES À JOUR DE LA SÉCURITÉ ET CORRECTIFS

Chaque entreprise a besoin d'un manuel de gestion de la sécurité des paiements bien pensé. Pour
garantir la régularité des mises à jour et des correctifs de sécurité,
les entreprises doivent prendre les mesures suivantes :

 Établissez une politique de gestion des correctifs : élaborez une politique claire qui décrit
l'approche de votre organisation en matière de gestion des correctifs, y compris les
responsabilités, les priorités, les délais et les procédures d'application des mises à jour et des
correctifs.

 Surveillez les mises à jour : restez informé des nouvelles mises à jour et correctifs en vous
abonnant aux avis de sécurité ou aux newsletters des fournisseurs de logiciels, des fabricants de
matériel et des fournisseurs de systèmes d'exploitation. Envisagez également d’utiliser des outils
automatisés qui peuvent vous aider à identifier les correctifs manquants ou les logiciels obsolètes.

TS 23
MISES À JOUR DE LA SÉCURITÉ ET CORRECTIFS

 Hiérarchiser et planifier les mises à jour : évaluez la gravité des vulnérabilités identifiées et
hiérarchisez les mises à jour en fonction du risque. Planifiez des mises à jour et des correctifs
pendant les périodes de faible utilisation du système afin de minimiser les perturbations de vos
opérations commerciales.

 Testez et déployez les mises à jour : avant de déployer des mises à jour et des correctifs,
testez-les dans un environnement contrôlé pour garantir la compatibilité et identifier les
problèmes potentiels. Une fois les tests terminés, déployez les mises à jour et les correctifs sur
votre environnement de production.

 Examen et audit : examinez régulièrement votre processus de gestion des correctifs pour vous
assurer qu'il est efficace et conforme aux politiques de votre organisation et aux normes de
l'industrie. Effectuer des audits périodiques pour vérifier que tous les systèmes sont à jour et
sécurisés.

TS 24