Passer au contenu principal

Liste complète des exigences PCI en matière de mots de passe pour les entreprises

|W. Perry Wortman

Les exigences PCI en matière de mots de passe ont été établies parce que le secteur des cartes bancaires a reconnu qu'il était possible et nécessaire d'en faire davantage pour protéger la confidentialité et la sécurité des consommateurs. Entamant leur troisième décennie de mise en application, ces exigences en matière de mots de passe mettent l'accent sur le maintien de pratiques de création, d'utilisation et de stockage de mots de passe sécurisées.

Qu'est-ce que la norme de sécurité PCI DSS ?

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble d'exigences de sécurité visant à garantir que toutes les entreprises qui acceptent, traitent, stockent ou transmettent des informations de cartes bancaires garantissent un environnement sécurisé. La norme indique ce que les entreprises doivent faire pour se défendre contre les violations de données et éviter les pénalités. Naturellement, cela inclut la prévention de l'accès non autorisé aux comptes des entreprises grâce au respect des bonnes pratiques en matière de mots de passe.

  • Objectif de la norme : Selon la déclaration de mission du conseil des normes de sécurité PCI, l'objectif de toutes ses initiatives stratégiques est de renforcer la sécurité des données de comptes de paiement à l'échelle mondiale en élaborant des normes et des services de soutien pour améliorer les connaissances, la sensibilisation et la mise en œuvre concrète d'initiatives de cybersécurité. Avec 389 000 cas de fraude à la carte bancaire signalés à la Federal Trade Commission (FTC) pour la seule année 2021, il est évident que ces initiatives sont nécessaires.
  • Historique de la norme : Les exigences de la norme PCI DSS ont été élaborées à la suite de l'émergence du e-commerce et des modes de paiement numériques au début des années 2000. Les cybercrimes liés aux paiements en ligne étant de plus en plus fréquents, les grandes marques de cartes bancaires ont uni leurs forces pour lutter contre le piratage, l'usurpation d'identité et d'autres activités malveillantes en ligne. En 2001, ces efforts ont abouti à la publication de la première norme PCI DSS, qui a été régulièrement mise à jour depuis.
  • PCI DSS 4.0 : La dernière version de la norme de sécurité PCI DSS, PCI DSS 4.0, a été publiée en mars 2022. Cette nouvelle mouture aborde les menaces de sécurité émergentes, promeut la sécurité en tant que processus continu et clarifie les orientations relatives aux exigences existantes de la norme PCI. Les exigences de la version 4.0 resteront facultatives jusqu'en mars 2025.

Vous souhaitez en savoir plus sur l'utilisation d'un gestionnaire de mots de passe au sein votre entreprise ?

Découvrez les forfaits professionnels de Dashlane ou commencez par un essai gratuit pour les entreprises.

Quelles sont les exigences en matière de mots de passe de la norme PCI DSS ? 

Les exigences de la norme PCI DSS en matière de mots de passe pour les entreprises qui traitent des paiements par carte bancaire reflètent le consensus et les bonnes pratiques du secteur pour les aspects importants de l'hygiène des mots de passe et comprennent les spécifications suivantes :

  1. Les mots de passe doivent être réinitialisés régulièrement : La politique de conformité des mots de passe PCI prévoit la réinitialisation des mots de passe tous les 90 jours. Toutefois, les récentes recommandations du NIST soulignent les potentiels inconvénients de ces changements fréquents, notamment que des mises à jour forcées peuvent conduire à des changements mineurs que les pirates sont susceptibles de deviner ou à la réutilisation de mots de passe pour des raisons de commodité. Les activités de réduction des risques, comme le recours à un gestionnaire de mots de passe pour générer des mots de passe forts et complexes, réduisent également la nécessité de procéder à des mises à jour obligatoires.
  2. Les tentatives de connexion doivent être limitées : il nous est tous arrivé d'essayer de deviner des mots de passe oubliés ou égarés, en espérant nous en souvenir correctement avant d'avoir épuisé le nombre de tentatives autorisées. Selon les exigences PCI en matière de mots de passe, les utilisateurs devraient avoir droit à un nombre raisonnable (3 à 6) de tentatives de connexion. Une fois ce quota dépassé, la personne qui tente de se connecter doit soit être bloquée pendant une période déterminée, soit être obligée d'appeler le service informatique ou l'administrateur du système pour débloquer son compte. Cette limite imposée est très dissuasive pour les attaques par force brute qui tentent d'obtenir un accès non autorisé à un compte en essayant des milliers de combinaisons d'identifiants.
Graphique représentant un cybercriminel essayant différents identifiants, puis réussissant à accéder aux comptes bancaires, de messagerie et de médias sociaux de l'utilisateur.
  1. Des délais d'expiration de session doivent être mis en place : la norme PCI DSS exige des délais d'expiration de session automatiques pour contrer les risques liés à une plus grande mobilité du personnel. Toutes les entreprises doivent mettre en place des délais d'expiration de session automatiques, bien que chacune soit libre de fixer ses propres limites de temps en fonction des risques. Une fois le délai d'inactivité dépassé, les utilisateurs doivent à nouveau saisir leurs identifiants pour réintégrer le réseau. Cette règle permet d'atténuer le risque lié aux appareils laissés sans surveillance dans des lieux publics tels que les cafés, les aéroports et les hôtels.
  2. Les mots de passe doivent être longs et complexes : l'établissement de mots de passe longs et complexes pour tous les comptes est l'un des meilleurs moyens de déjouer les techniques de piratage telles que les attaques par force brute. Les exigences PCI en matière de mots de passe prévoient 7 caractères ou plus, mais l'utilisation d'au moins 12 caractères améliorera considérablement la robustesse de votre mot de passe et sa résistance au piratage.
  3. Un mot de passe complexe comprend des lettres majuscules, des lettres minuscules, des chiffres et des caractères spéciaux dans un ordre aléatoire. Il évite également d'utiliser des phrases courantes ou des chaînes de caractères prévisibles telles que ABCD et 12345. En outre, un mot de passe fort et complexe ne contient pas de chiffres ou de phrases pouvant être liés à votre identité, comme votre nom, votre date de naissance et votre numéro de téléphone.       
  4. Les mots de passe doivent être uniques : un mot de passe unique est un mot de passe qui n'est pas réutilisé pour d'autres comptes. Il est courant de répéter les mots de passe, car cela réduit les efforts de mémorisation ou de gestion. Cependant, cette pratique affaiblit par la même occasion la sécurité des mots de passe, puisque plusieurs comptes peuvent être affectés si le mot de passe réutilisé venait à être compromis.
  5. Les données sensibles doivent être chiffrées : les exigences de chiffrement de la norme PCI DSS rendent obligatoire le chiffrement des mots de passe et autres données sensibles lors de la transmission et du stockage, bien qu'elles ne précisent pas de méthode de chiffrement à l'heure actuelle. Le chiffrement des mots de passe les rend illisibles et inutilisables pour les pirates, ce qui réduit l'impact d'une violation de données. Le gestionnaire de mots de passe Dashlane utilise le chiffrement AES 256 bits, largement reconnu comme étant le plus puissant disponible, pour protéger vos mots de passe et autres données personnelles.

Vous voulez savoir comment Dashlane chiffre les données de ses clients sans prendre de raccourcis ? Consultez notre article de blog.

Les avantages de l'authentification multifacteur

Les bonnes pratiques d'hygiène des mots de passe spécifiées par les exigences PCI DSS permettent d'améliorer la cybersécurité et de protéger les informations des comptes liés à des cartes bancaires. En mettant l'accent sur l'authentification multifacteur (MFA), la norme PCI a fait un grand pas vers des transactions en ligne plus sûres. Les avantages de la MFA sont les suivants :

  • Une couche de sécurité supplémentaire
    La double authentification (2FA) utilise un deuxième identifiant, comme un code délivré par une application ou un SMS, pour confirmer l'identité de l'utilisateur. Le principe simple sur lequel repose la 2FA est qu'un pirate qui obtient illégalement des identifiants a peu de chances d'avoir l'appareil de l'utilisateur à portée de main pour recevoir un code d'authentification. L'authentification multifacteur utilise deux facteurs d'identification ou plus, et intègre souvent des identifiants biométriques avancés tels que des empreintes digitales ou la reconnaissance faciale pour renforcer le niveau de sécurité.
Graphique d
  • La validation de l'identité

Le concept d'un système d'identité numérique universel pour confirmer notre identité en ligne et en personne a pris de l'ampleur à mesure que les méthodes de vérification s'améliorent. La combinaison de ce que vous connaissez (mot de passe), de ce que vous avez (appareil) et de ce que vous êtes (facteurs biométriques tels que votre empreinte digitale) produit un processus d'identification extrêmement fiable et pratiquement sans faille, basé sur la MFA. La norme PCI DSS utilise l'assurance d'identité de la MFA pour protéger l'accès aux données des titulaires de cartes.

  • La sécurisation du télétravail

Avec la généralisation des pratiques de travail mobile et à distance, il est essentiel de vérifier l'identité des employés qui se connectent à partir de lieux situés en dehors du périmètre du réseau de l'entreprise. La MFA offre cette couche supplémentaire d'authentification pour les télétravailleurs et empêche ainsi tout accès non autorisé si leurs appareils sont perdus ou volés, ou s'ils utilisent un réseau Wi-Fi public sans avoir recours à un VPN pour les protéger du piratage et de l'interception de leurs données.

  • L'intégration de facteurs biométriques

Les méthodes d'authentification biométrique, telles que les empreintes digitales et la reconnaissance faciale, utilisées sur de nombreux appareils mobiles ne sont que la partie émergée de l'iceberg, l'authentification sans mot de passe devenant la norme. Bien que les facteurs biométriques soient fréquemment utilisés comme l'un des deux identifiants MFA ou plus, ils ont le potentiel de libérer les utilisateurs et les équipes informatiques des processus de création, de stockage et de protection des mots de passe qui demandent beaucoup de temps.     

  • La conformité à la norme PCI-DSS

Le simple fait de se conformer aux exigences de la norme PCI-DSS est une raison suffisante pour que les entreprises traitant des informations de cartes bancaires mettent en œuvre la MFA, mais la plupart d'entre elles reconnaissent déjà les avantages de cette pratique pour elles-mêmes et pour leurs clients. La sécurité offerte par la MFA a justifié la décision du conseil PCI DSS de l'exiger pour l'accès aux données de cartes bancaires, car elle peut compenser les défauts en termes d'hygiène, de stockage et de contrôle d'accès des mots de passe.

Comment Dashlane aide à sécuriser les mots de passe

Le gestionnaire de mots de passe Dashlane est la solution de cybersécurité idéale pour vous aider à vous conformer aux exigences PCI en améliorant l'hygiène des mots de passe tout en augmentant la sensibilisation et la protection des employés. Les fonctionnalités de Dashlane qui complètent les exigences PCI DSS comprennent :

  • La génération avancée de mots de passe pour s'assurer que les mots de passe nouveaux ou modifiés sont toujours longs et complexes.
  • La double authentification pour offrir une couche de sécurité supplémentaire à certains comptes.
  • La surveillance du dark Web pour scruter les recoins cachés d'Internet à la recherche des identifiants et des données privées des employés, et les alerter si leurs informations sont détectées.
  • Une architecture « zero-knowledge » pour s'assurer que personne, pas même Dashlane, ne puisse jamais accéder aux données non chiffrées des employés.
  • Un score de sécurité pour surveiller les mots de passe faibles, compromis et réutilisés de chaque employé.

Garder un œil sur votre score de sécurité est le moyen le plus simple d'évaluer et d'améliorer la sécurité de vos mots de passe. Découvrez comment des identifiants faibles, réutilisés ou compromis influent sur votre score.


Références

  1. PCI Security Standards Council, « About Us » [À propos], 2023.
  2. Dashlane, « 9 Practical Password Security Best Practices » [9 bonnes pratiques de sécurité des mots de passe], mars 2023.
  3. Credit.com, « Credit Card Fraud Statistics Everyone Should Know in 2023 » [Statistiques sur la fraude à la carte bancaire à connaître en 2023], mars 2023.
  4. WEX, « What is PCI Compliance: A comprehensive guide » [Qu'est-ce que la conformité PCI : le guide complet], janvier 2023.
  5. PCI Security Standards Council, « At a Glance: PCI DSS v4.0 » [PCI DSS v4.0 en un coup d'œil], avril 2022.
  6. Dashlane, « 7 Password Hygiene Best Practices to Follow », février 2023.
  7. NetSec News, « Summary of the NIST Password Recommendations » [Résumé des recommandations du NIST en matière de mots de passe], novembre 2022.
  8. Dashlane, « Build the Case for a Password Manager in 8 Steps », 2023.
  9. Dashlane "What the Hack is a Brute Force Attack ?" ( février 2020.
  10. Dashlane, « Changing Passwords: Best Practices for Remote Workers » [Changements de mots de passe : bonnes pratiques pour les télétravailleurs], mars 2023.
  11. Dashlane, « Password Management 101 » (Les bases de la gestion de mots de passe), 2023.
  12. Dashlane, « Qu’est-ce qu’une phrase de passe et comment puis-je en créer ? », novembre 2022.
  13. Dashlane, « Comment ne plus jamais réutiliser un seul mot de passe », janvier 2020.
  14. Dashlane, « Le chiffrement expliqué par Dashlane », mars 2019.
  15. Dashlane, « A Complete Guide to Multifactor Authentication », novembre 2022.
  16. Dashlane, « Double authentification (2FA) dans Dashlane », 2023.
  17. Dashlane, « Les bases de l'identité numérique : tout ce que vous devez savoir », avril 2023.
  18. Dashlane, « Pourquoi avez-vous besoin d'un VPN ? Ses 3 grands avantages pour votre sécurité », août 2020.
  19. Dashlane, « Qu'est-ce que l'authentification sans mot de passe et pourquoi s'y intéresser ? », novembre 2022.
  20. Dashlane, « Gestionnaire de mots de passe personnel fiable », 2023.
  21. Dashlane Dark Web Monitoring: Your Employees Are Likely Using Compromised Passwords », juillet 2022.
  22. Dashlane, « A Deep Dive into Dashlane's Zero-Knowledge Security, », 2023.
  23. Dashlane « A look at Password Health Scores around the world in 2022 » [Les scores de sécurité dans le monde en 2022], 2022.
  24. Dashlane, « Everything You Need to Know About Your Password Health Score », octobre 2020.
  25. Dashlane, « 7 Password Hygiene Best Practices to Follow », février 2023.

Inscrivez-vous pour connaître toute l'actualité de Dashlane