Qu’est-ce que PCI DSS ?
PCI DSS (Payment Card Industry Data Security Standard) est le standard de sécurité qui régit la protection des données de carte bancaire dans le monde entier. Toute entreprise qui stocke, traite ou transmet des données de titulaire de carte — numéro de carte, date d’expiration, code de sécurité — doit s’y conformer.
Le standard est maintenu par le PCI SSC (Payment Card Industry Security Standards Council), fondé en 2006 par Visa, Mastercard, American Express, Discover et JCB. Le PCI SSC définit le standard ; ce sont les banques acquéreuses et les réseaux de cartes qui imposent la conformité aux commerçants et prestataires.
Les 12 exigences en résumé
PCI DSS s’organise autour de 12 exigences, regroupées en six objectifs :
| Objectif | Exigences |
|---|---|
| Construire et maintenir un réseau sécurisé | 1. Installer et maintenir des contrôles de sécurité réseau — 2. Appliquer des configurations sécurisées à tous les composants |
| Protéger les données de titulaire de carte | 3. Protéger les données de compte stockées — 4. Chiffrer les données en transit sur les réseaux ouverts |
| Maintenir un programme de gestion des vulnérabilités | 5. Protéger contre les malwares — 6. Développer et maintenir des systèmes sécurisés |
| Mettre en œuvre des contrôles d’accès | 7. Restreindre l’accès aux données selon le besoin métier — 8. Identifier les utilisateurs et authentifier les accès |
| Surveiller et tester les réseaux | 9. Restreindre l’accès physique aux données — 10. Journaliser et surveiller les accès |
| Maintenir une politique de sécurité | 11. Tester régulièrement les systèmes — 12. Mettre en œuvre une politique de sécurité de l’information |
L’exigence 12 — et plus précisément 12.6 — est celle qui concerne directement la formation et la sensibilisation des employés.
PCI DSS v4.0 : la version actuelle
La version 4.0, publiée en mars 2022, est devenue la seule version active le 31 mars 2024, remplaçant la v3.2.1. Elle introduit une approche plus flexible : méthode “définie” (contrôles prescrits) ou méthode “personnalisée” (objectifs atteints par des moyens alternatifs, sous validation).
Qui est concerné par PCI DSS ?
La réponse est simple : toute entité qui touche aux données de carte bancaire.
Les acteurs concernés
- Commerçants physiques : boutiques, restaurants, hôtels, stations-service — tout point de vente qui accepte les cartes
- E-commerçants : sites de vente en ligne, même ceux qui redirigent vers une page de paiement hébergée par un prestataire (le périmètre varie selon l’intégration)
- Prestataires de services de paiement (PSP) : Stripe, Adyen, Worldline, les passerelles de paiement
- Banques acquéreuses : les banques qui traitent les transactions pour le compte des commerçants
- Hébergeurs et infogérants : tout prestataire qui héberge ou gère des systèmes traitant des données de carte
Les quatre niveaux de conformité pour les commerçants
Le volume annuel de transactions détermine le niveau d’exigence de validation :
| Niveau | Volume annuel de transactions | Validation requise |
|---|---|---|
| 1 | Plus de 6 millions | Audit annuel par un QSA + scan trimestriel ASV |
| 2 | 1 à 6 millions | SAQ annuel + scan trimestriel ASV |
| 3 | 20 000 à 1 million (e-commerce) | SAQ annuel + scan trimestriel ASV |
| 4 | Moins de 20 000 (e-commerce) ou jusqu’à 1 million (autres) | SAQ annuel (recommandé) |
La majorité des PME françaises relèvent du niveau 3 ou 4. Les 12 exigences s’appliquent toujours — seul le mode de validation change : un questionnaire d’auto-évaluation (SAQ) plutôt qu’un audit externe.
Le cas des PME qui utilisent un PSP
Si votre site e-commerce redirige les clients vers la page de paiement de Stripe ou de Payplug, votre périmètre PCI DSS est réduit et le SAQ applicable est simplifié (SAQ A). Mais vous n’êtes pas exempt : vous devez sécuriser la redirection, protéger vos systèmes et former vos employés.
L’exigence 12.6 : formation et sensibilisation
L’exigence 12.6 de PCI DSS impose à chaque entreprise concernée de mettre en place un programme formel de sensibilisation à la sécurité.
Ce que demande PCI DSS v4.0 (exigence 12.6)
12.6.1 — Un programme de sensibilisation à la sécurité existe et est documenté.
12.6.2 — Le programme est révisé au moins une fois par an et mis à jour pour intégrer les nouvelles menaces, y compris le phishing et l’ingénierie sociale.
12.6.3 — Les employés reçoivent une formation à la sécurité à l’embauche et au moins une fois par an.
12.6.3.1 — La formation couvre spécifiquement les menaces qui ciblent l’environnement de données de carte, y compris le phishing et les attaques par ingénierie sociale.
12.6.3.2 — Les employés signent un document confirmant qu’ils ont lu et compris les politiques et procédures de sécurité.
En pratique, un programme de simulation de phishing régulier répond directement aux exigences 12.6.2 et 12.6.3.1 : il expose les employés aux techniques de phishing réelles, mesure leur réactivité, et fournit une preuve documentée de sensibilisation continue.
Pourquoi la formation est un point d’audit
Lors d’un audit PCI DSS ou d’un SAQ, l’évaluateur vérifie que la formation est effective et traçable. Les éléments demandés :
- Le contenu du programme de sensibilisation
- Les dates de formation par employé
- Les attestations signées
- Les preuves de mise à jour du programme face aux nouvelles menaces
Sans ces éléments, l’entreprise échoue à l’exigence 12.6 — même si ses systèmes techniques sont conformes.
PCI DSS v4.0 : ce qui change
Au-delà des exigences déjà en vigueur depuis mars 2024, un ensemble d’exigences supplémentaires — marquées comme “future-dated” dans le standard — sont devenues obligatoires le 31 mars 2025.
Les nouvelles exigences à retenir
Exigence 5.4.1 — Mécanismes anti-phishing : les entreprises doivent déployer des mécanismes techniques pour détecter et protéger le personnel contre les attaques de phishing. Cela inclut les filtres anti-phishing sur la messagerie, les solutions de vérification de liens, et les simulations de phishing. C’est la première fois que PCI DSS impose explicitement un contrôle technique contre le phishing — un signe que l’industrie reconnaît le phishing comme la première menace sur les données de paiement.
Analyse de risque ciblée (targeted risk analysis) : les entreprises doivent documenter une analyse de risque justifiant la fréquence de leurs contrôles (scans de vulnérabilités, revues de journaux), plutôt que d’appliquer un calendrier par défaut.
Authentification renforcée : l’exigence 8.3.6 impose des mots de passe d’au moins 12 caractères (contre 7 auparavant). L’exigence 8.4.2 impose le MFA pour tous les accès à l’environnement de données de carte — pas seulement les accès administrateurs.
Détection des modifications sur les pages de paiement : les exigences 6.4.3 et 11.6.1 imposent de détecter les modifications non autorisées sur les pages de paiement et leurs en-têtes HTTP — une protection directe contre le skimming JavaScript (attaques Magecart).
Ce que cela signifie pour les PME commerçantes
Pour un commerce de niveau 3 ou 4, les impacts concrets de la v4.0 sont :
- Mettre en place un programme de sensibilisation qui couvre explicitement le phishing (exigence 12.6.3.1)
- Déployer un mécanisme anti-phishing sur la messagerie (exigence 5.4.1)
- Passer au MFA pour tout accès aux systèmes qui traitent des données de carte (exigence 8.4.2)
- Allonger les mots de passe à 12 caractères minimum (exigence 8.3.6)
- Si vous avez un site e-commerce, surveiller l’intégrité de vos pages de paiement (exigences 6.4.3 / 11.6.1)
PCI DSS et phishing
Le phishing est directement lié aux compromissions de données de paiement. Ce n’est pas un risque théorique — c’est le scénario d’attaque le plus documenté dans le secteur du commerce.
Comment le phishing mène à la compromission de données de carte
Scénario 1 — Compromission de terminal de paiement (POS malware)
- Un employé clique sur un lien de phishing et télécharge un malware
- L’attaquant prend le contrôle du poste, effectue une reconnaissance du réseau
- Il identifie les terminaux de paiement et les serveurs qui traitent les transactions
- Il installe un malware spécialisé (RAM scraper) qui intercepte les données de carte en mémoire, avant le chiffrement
- Les données sont exfiltrées vers un serveur externe
Ce scénario a frappé Target en 2013 (40 millions de cartes) et Home Depot en 2014 (56 millions de cartes). Le point d’entrée dans les deux cas : un email de phishing ciblant un fournisseur tiers.
Scénario 2 — Skimming sur site e-commerce (Magecart)
Un attaquant compromet un compte administrateur du site via du spear-phishing, puis injecte un script JavaScript sur la page de paiement. Le script capture les données de carte saisies par les clients et les envoie vers un serveur externe. Les attaques Magecart ont touché British Airways (380 000 cartes, amende ICO de 20 millions de livres) et des milliers de sites de toute taille. Le Verizon DBIR 2024 identifie le tandem phishing + web application attacks comme le mode d’attaque dominant dans le commerce de détail.
Scénario 3 — BEC ciblant les données de paiement
Un attaquant usurpe l’identité d’un fournisseur et demande l’envoi d’un fichier contenant des données de carte, ou un changement de coordonnées bancaires. Sans contrôle DLP, le fichier part sans alerte.
Pourquoi les employés sont la première ligne de défense
Les contrôles techniques ne protègent pas contre l’erreur humaine. Un employé qui saisit ses identifiants sur un faux portail imitant sa banque acquéreuse donne à l’attaquant un accès légitime. Le MFA limite l’impact, mais c’est la capacité de l’employé à reconnaître le phishing qui empêche l’attaque de démarrer.
Les niveaux de conformité PCI DSS
Le volume annuel de transactions détermine le mode de validation, mais les 12 exigences s’appliquent à tous les niveaux.
Les niveaux 1 (plus de 6 millions de transactions) et 2 (1 à 6 millions) exigent respectivement un audit QSA (Qualified Security Assessor) ou un SAQ renforcé, avec scan de vulnérabilité ASV trimestriel. Les niveaux 3 (20 000 à 1 million de transactions e-commerce) et 4 (en dessous) — où se situent la grande majorité des PME françaises — se conforment via un SAQ (Self-Assessment Questionnaire) annuel.
SAQ : le questionnaire d’auto-évaluation
Le SAQ existe en plusieurs variantes selon la manière dont l’entreprise traite les données de carte :
- SAQ A : commerçants qui externalisent tout le traitement (redirection vers un PSP)
- SAQ A-EP : e-commerçants dont le site influence le traitement sans stocker de données
- SAQ B : terminaux à empreinte ou à numérotation uniquement
- SAQ C : terminal de paiement connecté à Internet
- SAQ D : tous les autres cas — le plus complet
Quel que soit le SAQ applicable, l’exigence 12.6 sur la formation des employés y figure. Un commerce de niveau 4 utilisant un SAQ A n’est pas dispensé de sensibiliser ses employés au phishing.
Se préparer à PCI DSS avec la sensibilisation
La conformité PCI DSS ne se résume pas à un exercice annuel de cases à cocher. Une conformité sur papier ne protège pas si les employés ne sont pas préparés aux attaques réelles.
Actions concrètes pour les PME commerçantes
Mettre en place un programme de simulation de phishing — Une plateforme de simulation répond aux exigences 12.6.3.1 (formation couvrant le phishing) et 5.4.1 (mécanismes anti-phishing) : formation par la pratique et preuves documentées pour l’audit.
Configurer la protection email — SPF, DKIM et DMARC empêchent les attaquants d’usurper votre domaine pour envoyer des emails de phishing à vos employés ou vos clients. L’exigence 5.4.1 de PCI DSS v4.0 renforce la nécessité de ces contrôles.
Activer le MFA partout — L’exigence 8.4.2 impose le MFA pour tous les accès à l’environnement de données de carte. Ne vous limitez pas au strict périmètre PCI DSS : activez le MFA sur l’ensemble de vos comptes (email, ERP, CRM).
Former dès l’embauche et documenter — L’exigence 12.6.3 exige une formation à l’embauche puis annuellement, avec attestation signée. Automatisez ce processus pour ne pas dépendre d’un rappel manuel.
Surveiller les fuites de données — Un outil de DLP intégré à votre messagerie détecte les transferts de données de carte par email — un scénario de fuite fréquent dans les PME.
Le secteur du commerce et de la distribution fait face à des menaces spécifiques liées aux données de paiement et aux terminaux de vente. Retrouvez les enjeux détaillés sur notre page Commerce et distribution.
Vérifiez la protection email de votre domaine en 30 secondes avec le test de sécurité email — gratuit, sans création de compte.
Pour aller plus loin sur la conformité réglementaire et la sensibilisation, consultez notre page Conformité et la fiche RGPD qui couvre les obligations complémentaires de protection des données personnelles.
Questions fréquentes
Qu'est-ce que PCI DSS ?
PCI DSS (Payment Card Industry Data Security Standard) est le standard international de sécurité des données de l'industrie des cartes de paiement. Maintenu par le PCI SSC (Payment Card Industry Security Standards Council), il définit 12 exigences techniques et organisationnelles que toute entreprise traitant des données de carte bancaire doit respecter. La version actuelle, PCI DSS v4.0, est entrée en vigueur le 31 mars 2024, avec des exigences supplémentaires applicables au 31 mars 2025.
Mon commerce est-il concerné par PCI DSS ?
Si votre entreprise accepte les paiements par carte bancaire — en magasin, en ligne, par téléphone ou par courrier — elle est concernée par PCI DSS. Cela inclut les commerçants, les sites e-commerce, les prestataires de services de paiement et tout intermédiaire qui stocke, traite ou transmet des numéros de carte. La taille de l'entreprise ne vous exempte pas : un commerce de quartier qui utilise un terminal de paiement est soumis aux mêmes exigences qu'une grande enseigne, avec un niveau de validation différent.
PCI DSS impose-t-elle la formation des employés ?
Oui. L'exigence 12.6 de PCI DSS impose un programme de sensibilisation à la sécurité. Chaque employé doit être formé à l'embauche puis au moins une fois par an. La version 4.0 renforce cette exigence en demandant que le programme couvre explicitement les menaces de phishing et d'ingénierie sociale. L'employé doit signer un document attestant qu'il a lu et compris les politiques de sécurité.
Quels sont les niveaux de conformité PCI DSS ?
PCI DSS définit quatre niveaux de conformité pour les commerçants, basés sur le volume annuel de transactions par carte. Le niveau 1 concerne les commerçants traitant plus de 6 millions de transactions par an (audit QSA obligatoire). Le niveau 2 vise ceux entre 1 et 6 millions. Les niveaux 3 et 4 couvrent les commerçants à volume plus faible, qui peuvent généralement se conformer via un questionnaire d'auto-évaluation (SAQ).
Quel est le lien entre phishing et compromission de données de paiement ?
Le phishing est le premier vecteur d'accès dans les compromissions de données de paiement. Un employé qui clique sur un lien frauduleux donne à l'attaquant un point d'entrée dans le réseau de l'entreprise. De là, l'attaquant peut installer un malware sur les terminaux de paiement, intercepter les données de carte en transit, ou accéder aux bases de données contenant les numéros de carte stockés. Le rapport Verizon DBIR 2024 confirme que le phishing reste impliqué dans la majorité des compromissions du secteur du commerce.