La segmentation réseau PCI DSS est souvent présentée comme la solution pour réduire le scope de conformité. Mais en pratique, son implémentation et sa maintenance représentent un coût considérable. Cet article examine les raisons de ce coût élevé, les alternatives disponibles et comment la tokenisation permet de réduire radicalement le CDE sans investissement massif en infrastructure réseau.
Le vrai coût de la segmentation réseau PCI DSS
La segmentation réseau pour PCI DSS n'est pas une simple opération de configuration. Elle implique l'achat ou la mise à niveau d'équipements réseau (pare-feux, commutateurs managés), la conception d'une nouvelle architecture réseau, la migration des systèmes existants vers les nouveaux segments, et la documentation exhaustive de toutes les règles et flux. Pour une PME, ce projet peut représenter entre 15 000 et 50 000 € en coûts initiaux, auxquels s'ajoutent des coûts annuels de maintenance et de test.
Les coûts récurrents incluent : les tests annuels de validation de la segmentation (requis par PCI DSS v4), la révision semestrielle des règles de pare-feu, la formation du personnel aux nouvelles procédures, et les éventuels scans ASV trimestriels. Ces coûts s'accumulent et peuvent dépasser les bénéfices attendus, surtout pour les petites entreprises qui n'ont pas d'équipe IT dédiée.
Les défis techniques de la segmentation PCI DSS
Au-delà des coûts financiers, la segmentation réseau pose des défis techniques complexes. Les environnements hybrides — combinant infrastructures on-premise, cloud privé et services cloud publics — rendent difficile la définition de frontières réseau claires. Les applications SaaS, les API tierces et les services de paiement créent des flux de données qui traversent les frontières réseau de manière imprévisible.
La maintenance à long terme est également problématique. Chaque nouvelle intégration, chaque mise à jour d'application ou changement d'infrastructure peut potentiellement affecter la segmentation. Sans processus rigoureux de gestion des changements, il est facile de créer involontairement des "fuites" dans la segmentation qui invalident le périmètre déclaré lors de l'audit PCI. PCI DSS v4 exige que ces tests soient documentés et répétés annuellement — une obligation qui ajoute encore à la charge opérationnelle.
Alternatives à la segmentation réseau traditionnelle
Face à ces défis, plusieurs alternatives méritent d'être considérées. La première est l'adoption d'une solution de paiement hébergé (hosted payment page) : le marchand redirige les clients vers une page de paiement hébergée par un prestataire certifié PCI DSS Level 1. Les données de carte ne transitent jamais par les systèmes du marchand, éliminant ainsi la nécessité d'un CDE à segmenter. Cette approche est simple mais peut limiter la personnalisation de l'expérience de paiement.
La deuxième alternative est la tokenisation au point de collecte : les données de carte sont collectées directement dans l'environnement sécurisé du prestataire via un widget ou une API, et le marchand ne reçoit qu'un token. Cette approche offre plus de flexibilité qu'une hosted payment page tout en maintenant le CDE du marchand à quasi zéro. C'est l'approche adoptée par PCI Proxy EU.
Comment la tokenisation réduit radicalement le CDE
Avec la tokenisation, le marchand ne traite, ne stocke ni ne transmet jamais de PAN en clair. Les systèmes du marchand reçoivent uniquement des tokens — des identifiants aléatoires qui n'ont aucune valeur cryptographique et ne peuvent pas être utilisés pour initier des transactions sans passer par l'infrastructure sécurisée du prestataire de tokenisation.
Concrètement, cela signifie que l'ensemble de l'infrastructure du marchand sort du périmètre PCI DSS. Seule l'infrastructure de PCI Proxy EU — certifiée PCI DSS Level 1 — est dans le scope. Pour le marchand, la charge de conformité se réduit à un SAQ A de 22 questions, remplaçant le SAQ D de 300+ questions qui accompagne généralement la gestion d'un CDE avec segmentation réseau. L'économie en temps et en coûts est substantielle.
Quand la segmentation reste néanmoins nécessaire
La tokenisation ne résout pas tous les cas d'usage. Les marchands qui ont des exigences spécifiques de traitement des données de carte en interne — par exemple pour des raisons de compliance réglementaire sectorielle, de réconciliation financière complexe ou d'intégration avec des systèmes legacy — peuvent ne pas pouvoir déléguer complètement le traitement des cartes. Dans ces cas, une combinaison de tokenisation pour les cas d'usage standard et de segmentation réseau pour les cas d'usage spéciaux peut offrir le meilleur équilibre.
Il est également important de noter que même avec la tokenisation, certaines exigences PCI DSS continuent de s'appliquer au marchand : les politiques de sécurité générales, la gestion des accès, la sensibilisation du personnel et la gestion des incidents restent de la responsabilité du marchand, quel que soit le niveau de délégation du traitement des cartes.
Vous souhaitez réduire radicalement votre CDE sans investissement lourd en segmentation réseau ? Découvrez PCI Proxy EU.