{"id":1569910,"date":"2025-03-07T19:16:05","date_gmt":"2025-03-07T21:16:05","guid":{"rendered":"https:\/\/teknomers.com\/fr\/ce-que-pci-dss-v4-signifie-vraiment-les-lecons-de-af-compliance-journey\/"},"modified":"2025-03-07T19:16:11","modified_gmt":"2025-03-07T21:16:11","slug":"ce-que-pci-dss-v4-signifie-vraiment-les-lecons-de-af-compliance-journey","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/ce-que-pci-dss-v4-signifie-vraiment-les-lecons-de-af-compliance-journey\/","title":{"rendered":"Ce que PCI DSS V4 signifie vraiment &#8211; les le\u00e7ons de A&#038;F Compliance Journey"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">07 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">The Hacker News<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 \/ conformit\u00e9 des paiements <\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow noopener\" href=\"https:\/\/www.reflectiz.com\/learning-hub\/pci-webinar-apr-24\/?utm_source=twitter&amp;utm_medium=social&amp;utm_content=318194234\" style=\"clear: left; display: block; float: left;  pointer: cursor; text-align: center;\" target=\"_blank\"><\/a><\/div>\n<p style=\"text-align: center;\"><a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/learning-hub\/pci-webinar-apr-24\/?utm_source=twitter&amp;utm_medium=social&amp;utm_content=318194234\" target=\"_blank\">Acc\u00e9dez au webinaire \u00e0 la demande ici<\/a><\/p>\n<h2>\u00c9vitez une catastrophe de conformit\u00e9 de 100 000 $ \/ mois<\/h2>\n<p><strong>31 mars 2025: l&#8217;horloge tourne.<\/strong> Et si un seul script n\u00e9glig\u00e9 pouvait co\u00fbter 100 000 $ \u00e0 votre entreprise par mois en amendes sans conformit\u00e9? PCI DSS V4 arrive et les entreprises qui g\u00e8rent les donn\u00e9es de la carte de paiement doivent \u00eatre pr\u00e9par\u00e9es.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741382163_648_Ce-que-PCI-DSS-V4-signifie-vraiment-les-lecons.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741382163_648_Ce-que-PCI-DSS-V4-signifie-vraiment-les-lecons.png\" alt=\"\" border=\"0\" data-original-height=\"280\" data-original-width=\"1200\"\/><\/a><\/div>\n<p>Au-del\u00e0 des amendes, la non-conformit\u00e9 expose les entreprises \u00e0<a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/use-cases\/magecart-web-skimming\/\" target=\"_blank\"> \u00e9cr\u00e9mage sur le Web<\/a>attaques de scripts tiers et menaces \u00e9mergentes bas\u00e9es sur le navigateur.<\/p>\n<p>Alors, comment vous pr\u00e9parez-vous \u00e0 temps?<\/p>\n<p>Reflectiz s&#8217;est assis avec Abercrombie &#038; Fitch (A&#038;F), pour une discussion sans retenue sur les d\u00e9fis les plus difficiles PCI DSS V4.<\/p>\n<p>Kevin Heffernan, directeur des risques chez A&#038;F, a partag\u00e9 des informations exploitables sur:<\/p>\n<ul>\n<li><strong>Ce qui a fonctionn\u00e9 (et \u00e9conomis\u00e9 $$$)<\/strong><\/li>\n<li><strong>Ce qui n&#8217;a pas (et co\u00fbt\u00e9 le temps et les ressources)<\/strong><\/li>\n<li><strong>Ce qu&#8217;ils souhaitent avoir connu plus t\u00f4t<\/strong><\/li>\n<\/ul>\n<p style=\"text-align: center;\">\u27a1 <strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/learning-hub\/pci-webinar-apr-24\/?utm_source=twitter&amp;utm_medium=social&amp;utm_content=318194234\" target=\"_blank\">Regardez le webinaire complet PCI DSS V4 maintenant<\/a><\/strong><\/p>\n<p style=\"text-align: center;\">(Acc\u00e8s gratuit \u00e0 la demande &#8211; Apprenez des experts de la conformit\u00e9 d&#8217;A&#038;F)<\/p>\n<h2>Qu&#8217;est-ce qui change dans PCI DSS v4.0.1?<\/h2>\n<p>PCI DSS V4 pr\u00e9sente des normes de s\u00e9curit\u00e9 plus strictes, en particulier pour les scripts tiers, la s\u00e9curit\u00e9 du navigateur et la surveillance continue. Deux des plus grands d\u00e9fis pour les marchands en ligne sont les exigences 6.4.3 et 11.6.1.<\/p>\n<h3>Exigence 6.4.3 &#8211; S\u00e9curit\u00e9 du script de la page de paiement<\/h3>\n<p>La plupart des entreprises s&#8217;appuient sur des scripts tiers pour la caisse, l&#8217;analyse, le chat en direct et la d\u00e9tection de fraude. Mais les attaquants exploitent ces scripts pour<a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/blog\/essential-guide-to-preventing-javascript-injection\/\" target=\"_blank\"> Injecter un code malveillant<\/a> dans les pages de paiement (attaques de style Magecart).<\/p>\n<h4 style=\"text-align: left;\"><strong>Nouveaux mandats PCI DSS V4:<\/strong><\/h4>\n<p>Inventaire du script &#8211; Chaque script charg\u00e9 dans le navigateur d&#8217;un utilisateur doit \u00eatre enregistr\u00e9 et justifi\u00e9.<\/p>\n<p>Contr\u00f4les d&#8217;int\u00e9grit\u00e9 &#8211; Les entreprises doivent v\u00e9rifier l&#8217;int\u00e9grit\u00e9 de tous les scripts de la page de paiement.<\/p>\n<p>Autorisation &#8211; Seuls les scripts approuv\u00e9s doivent s&#8217;ex\u00e9cuter sur les pages de paiement.<\/p>\n<h4 style=\"text-align: left;\"><strong>Comment A&#038;F l&#8217;a abord\u00e9:<\/strong><\/h4>\n<ul>\n<li>A effectu\u00e9 des audits de script pour identifier les d\u00e9pendances tierces inutiles ou risqu\u00e9es.<\/li>\n<li>Utilis\u00e9 la politique de s\u00e9curit\u00e9 du contenu (CSP) pour restreindre les scripts tiers.<\/li>\n<li>Utilis\u00e9 des approbations automatis\u00e9es intelligentes pour gagner du temps et de l&#8217;argent.<\/li>\n<\/ul>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741382164_336_Ce-que-PCI-DSS-V4-signifie-vraiment-les-lecons.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741382164_336_Ce-que-PCI-DSS-V4-signifie-vraiment-les-lecons.png\" alt=\"\" border=\"0\" data-original-height=\"278\" data-original-width=\"1200\"\/><\/a><\/div>\n<h3>Exigence 11.6.1 &#8211; D\u00e9tection de changement et de sabotage <\/h3>\n<p>M\u00eame si vos scripts sont s\u00e9curis\u00e9s aujourd&#8217;hui, les attaquants peuvent injecter des changements malveillants plus tard.<\/p>\n<h4 style=\"text-align: left;\"><strong>Nouveaux mandats PCI DSS V4:<\/strong><\/h4>\n<p>M\u00e9canisme &#8211; D\u00e9placement continu des modifications et de la d\u00e9tection de d\u00e9tection pour les modifications du script de la page de paiement.<\/p>\n<p>Modifications non autoris\u00e9es &#8211; surveillance de l&#8217;en-t\u00eate HTTP pour d\u00e9tecter les modifications non autoris\u00e9es.<\/p>\n<p>Int\u00e9grit\u00e9 &#8211; v\u00e9rifications hebdomadaires d&#8217;int\u00e9grit\u00e9 (ou plus fr\u00e9quemment en fonction des niveaux de risque et des indicateurs de compromis).<\/p>\n<h4 style=\"text-align: left;\"><strong>Comment A&#038;F l&#8217;a abord\u00e9:<\/strong><\/h4>\n<ul>\n<li>Suivi continu d\u00e9ploy\u00e9 pour d\u00e9tecter les modifications non autoris\u00e9es.<\/li>\n<li>Informations de s\u00e9curit\u00e9 et gestion d&#8217;\u00e9v\u00e9nements utilis\u00e9es (SIEM) pour la surveillance centralis\u00e9e.<\/li>\n<li>Cr\u00e9ation d&#8217;alertes automatis\u00e9es et d&#8217;approbation par lots pour les modifications de script, de structure et d&#8217;en-t\u00eate sur les pages de paiement.<\/li>\n<\/ul>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741382165_791_Ce-que-PCI-DSS-V4-signifie-vraiment-les-lecons.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741382165_791_Ce-que-PCI-DSS-V4-signifie-vraiment-les-lecons.png\" alt=\"\" border=\"0\" data-original-height=\"278\" data-original-width=\"1200\"\/><\/a><\/div>\n<p><strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/lp\/pci-dss-dashboard\/\" target=\"_blank\">Essayez le tableau de bord PCI ReflectIz &#8211; essai gratuit de 30 jours<\/a><\/strong><\/p>\n<h2>Mise \u00e0 jour r\u00e9cente: la clarification de l&#8217;exemption SAQ A<\/h2>\n<p><a rel=\"noopener nofollow\" href=\"https:\/\/blog.pcisecuritystandards.org\/faq-clarifies-new-saq-a-eligibility-criteria-for-e-commerce-merchants\" target=\"_blank\">Une clarification r\u00e9cente<\/a> du Conseil PCI indique ce qui suit concernant SAQ un marcheur [self-assessment questionnaire]:<\/p>\n<ol>\n<li><strong>Exigence d&#8217;admissibilit\u00e9<\/strong>: Les commer\u00e7ants doivent confirmer que leur site n&#8217;est pas sensible aux attaques de script affectant les syst\u00e8mes de commerce \u00e9lectronique.<\/li>\n<li><strong>Options de conformit\u00e9<\/strong>:\n<ul>\n<li>Mettre en \u0153uvre des techniques de protection (comme celles des exigences PCI DSS 6.4.3 et 11.6.1) soit directement ou par un tiers<\/li>\n<li>Ou obtenez une confirmation de fournisseurs de services conformes \u00e0 PCI DSS que leur solution de paiement int\u00e9gr\u00e9e comprend une protection contre les attaques de script<\/li>\n<\/ul>\n<\/li>\n<li><strong>Applicabilit\u00e9 limit\u00e9e<\/strong>: Les crit\u00e8res s&#8217;appliquent uniquement aux commer\u00e7ants en utilisant des pages \/ formulaires de paiement int\u00e9gr\u00e9s (par exemple, IFRAMES) des fournisseurs de services tiers.<\/li>\n<li><strong>Exemptions<\/strong>: Les commer\u00e7ants qui redirigent les clients vers des processeurs de paiement ou sous-traitent enti\u00e8rement les fonctions de paiement ne sont pas soumis \u00e0 cette exigence.<\/li>\n<li><strong>Recommandations<\/strong>: Les commer\u00e7ants devraient consulter leurs prestataires de services sur la mise en \u0153uvre s\u00e9curis\u00e9e et v\u00e9rifier avec leur acqu\u00e9reur que SAQ A convient \u00e0 leur environnement.<\/li>\n<\/ol>\n<p>Notez que m\u00eame si vous \u00eates admissible \u00e0 SAQ A, tout votre site Web doit toujours \u00eatre s\u00e9curis\u00e9. De nombreuses entreprises auront toujours besoin de surveillance et d&#8217;alertes en temps r\u00e9el, ce qui rend les solutions de conformit\u00e9 compl\u00e8tes concern\u00e9es malgr\u00e9 tout.<\/p>\n<h2>Les 3 meilleurs pi\u00e8ges PCI DSS V4 d&#8217;A&#038;F (et comment les \u00e9viter)<\/h2>\n<p>Avec plusieurs pages de paiement \u00e0 s\u00e9curiser \u00e0 travers le monde, le parcours de conformit\u00e9 d&#8217;Abercrombie et Fitch \u00e9tait complexe. Kevin Heffernan, directeur des risques, a sugg\u00e9r\u00e9 trois erreurs principales que les marchands en ligne commettent souvent.<\/p>\n<h3 style=\"text-align: left;\"><strong>Erreur n \u00b0 1: s&#8217;appuyant uniquement sur CSP<\/strong><\/h3>\n<p>Bien que la politique de s\u00e9curit\u00e9 du contenu (CSP) aide \u00e0 pr\u00e9venir les attaques bas\u00e9es sur le script, elle ne couvre pas les changements dynamiques dans les scripts ou les ressources externes. PCI DSS n\u00e9cessite une v\u00e9rification suppl\u00e9mentaire de l&#8217;int\u00e9grit\u00e9.<\/p>\n<h3 style=\"text-align: left;\"><strong>Erreur n \u00b0 2: ignorer les fournisseurs tiers<\/strong><\/h3>\n<p>La plupart des d\u00e9taillants comptent sur des passerelles de paiement externes, des widgets de chat et des scripts de suivi. Si ces vendeurs ne se conforment pas, vous \u00eates toujours responsable. Audit r\u00e9guli\u00e8rement les int\u00e9grations tierces.<\/p>\n<h3 style=\"text-align: left;\"><strong>Erreur n \u00b0 3: traiter la conformit\u00e9 comme une solution ponctuelle<\/strong><\/h3>\n<p>PCI DSS V4 oblige une surveillance continue, ce qui signifie que vous ne pouvez pas simplement auditer des scripts une fois et l&#8217;oublier. Les solutions de surveillance continues seront essentielles pour la conformit\u00e9.<\/p>\n<p><a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/lp\/pci-dss-dashboard\/\" target=\"_blank\">Essayez le tableau de bord PCI Refleviziz pour un petit trimestre de 30 jours. <\/a><\/p>\n<h2>Final \u00e0 retenir du voyage de conformit\u00e9 PCI d&#8217;A&#038;F<\/h2>\n<ul style=\"text-align: left;\">\n<li><strong>\u00c9valuation des risques d&#8217;abord<\/strong> &#8211; Identifier et cartographier les vuln\u00e9rabilit\u00e9s, les risques de la cha\u00eene d&#8217;approvisionnement et les erreurs de configuration des composants avant de sauter dans les changements de conformit\u00e9.<\/li>\n<li><strong>S\u00e9curiser vos scripts de page de paiement<\/strong> &#8211; Configurer des en-t\u00eates de s\u00e9curit\u00e9 HTTP stricts, tels que <a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/blog\/8-best-content-security-policies\/\" target=\"_blank\">CSP<\/a>.<\/li>\n<li><strong>Surveiller en continu <\/strong>&#8211; Utilisez des alertes de surveillance continue, SIEM et de d\u00e9tection de sabot pour capter les modifications avant que les attaquants ne les exploitent.<\/li>\n<li><strong>Ne pr\u00e9sumez pas que les vendeurs vous ont couvert<\/strong> &#8211; Audit des scripts et int\u00e9grations tiers &#8211; La responsabilit\u00e9 de la compliance ne s&#8217;arr\u00eate pas \u00e0 votre pare-feu.<\/li>\n<\/ul>\n<h2>La date limite du 31 mars 2025 est plus proche que vous ne le pensez<\/h2>\n<p>Attendre trop longtemps pour commencer <strong>Cr\u00e9e des lacunes et des risques de s\u00e9curit\u00e9<\/strong>. L&#8217;exp\u00e9rience d&#8217;A &#038; F montre pourquoi <strong>La pr\u00e9paration pr\u00e9coce est critique<\/strong>.<\/p>\n<p>\u27a1 \u00c9vitez les amendes de PCI co\u00fbteuses &#8211; <strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/learning-hub\/pci-webinar-apr-24\/\" target=\"_blank\">Regardez le webinaire PCI DSS V4 maintenant<\/a><\/strong>  pour savoir comment un grand d\u00e9taillant mondial a abord\u00e9 la conformit\u00e9 et ce que vous pouvez faire aujourd&#8217;hui <strong>\u00c9vitez les amendes et les risques de s\u00e9curit\u00e9<\/strong>.<\/p>\n<p><strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.reflectiz.com\/lp\/pci-dss-dashboard\/\" target=\"_blank\">Essayez le tableau de bord PCI Refleviziz pour un petit trimestre de 30 jours. <\/a><\/strong><\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? <span class=\"\">Cet article est un article contribu\u00e9 de l&#8217;un de nos pr\u00e9cieux partenaires.<\/span> Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/what-pci-dss-v4-really-means-lessons.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80207 mars 2025\ue804The Hacker NewsS\u00e9curit\u00e9 \/ conformit\u00e9 des paiements Acc\u00e9dez au webinaire \u00e0 la demande ici \u00c9vitez une catastrophe de conformit\u00e9 de 100 000 $ \/ mois 31 mars 2025: l&#8217;horloge tourne. Et si un seul script n\u00e9glig\u00e9 pouvait co\u00fbter 100 000 $ \u00e0 votre entreprise par mois en amendes sans conformit\u00e9? PCI DSS V4 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1569911,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,4168,285113,79002,274264,4161,274263,6124,132126,48263,4696,65,274267,4160,132125,238617,246491,4172,5920,79016,4166,2749,4164],"class_list":["post-1569910","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-comment-pirater","tag-compliance","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dss","tag-journey","tag-lecons","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-pci","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-signifie","tag-the-hacker-news","tag-violation-de-donnees","tag-vraiment","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1569910","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1569910"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1569910\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1569911"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1569910"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1569910"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1569910"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}