Le 31 mars 2025 marquait une date charnière pour PCI DSS : les 64 nouvelles exigences introduites en "best practice" lors du lancement de la v4.0 sont désormais toutes obligatoires. Voici ce que cela signifie concrètement pour votre organisation et comment ajuster votre programme de conformité.
Ce qui était "best practice" est maintenant obligatoire
Lors du lancement de PCI DSS v4.0 en mars 2022, le PCI SSC avait introduit 64 nouvelles exigences en statut "best practice until 31 March 2025". Ce délai de trois ans était destiné à laisser aux organisations le temps de préparer les changements architecturaux et opérationnels nécessaires. Depuis le 1er avril 2025, toutes ces exigences sont pleinement obligatoires et seront évaluées lors de toute audit ou auto-évaluation.
Les organisations qui se sont contentées de gérer la transition v3.2.1 vers v4.0 sur les exigences déjà obligatoires doivent maintenant traiter les 64 exigences additionnelles. Parmi les plus impactantes : la gestion des scripts sur les pages de paiement (6.4.3), la surveillance de l'intégrité des pages web (11.6.1), l'authentification multi-facteur étendue (8.4.2), et les tests de segmentation réseau semestriels (11.4.5).
Les 3 exigences les plus impactantes pour les e-commerçants
Exigence 6.4.3 — Gestion des scripts de paiement : Tout script JavaScript présent sur une page de paiement en ligne doit être autorisé, son intégrité vérifiée et tout changement non autorisé détecté. Cette exigence implique de déployer une Content Security Policy robuste, un système de surveillance de l'intégrité des ressources, et un processus de revue documenté. Les marchands utilisant des pages de paiement hébergées par un prestataire certifié PCI DSS Level 1 sont exemptés de cette obligation pour les pages hébergées chez le prestataire.
Exigence 11.6.1 — Surveillance des modifications des pages de paiement : Un mécanisme automatisé doit détecter et alerter sur toute modification non autorisée des en-têtes HTTP de sécurité et du contenu des pages de paiement. La fréquence minimale est hebdomadaire, mais une surveillance continue est recommandée. Les solutions de monitoring de sécurité web (comme les solutions de "page integrity monitoring") répondent à cette exigence.
Exigence 8.4.2 — MFA pour tous les accès au CDE : L'authentification multi-facteur est désormais obligatoire pour tous les accès au périmètre, y compris les accès internes. Une session ouverte sur le réseau interne ne suffit plus : chaque accès aux systèmes du CDE doit être authentifié avec au moins deux facteurs. Les organisations dont le CDE est étendu doivent revoir l'ensemble de leur architecture d'authentification.
Nouvelles exigences sur la gestion des risques et la gouvernance
La v4.0 introduit des exigences plus explicites sur la gouvernance de la conformité PCI DSS. L'exigence 12.3.2 impose une analyse de risque ciblée pour toutes les exigences qui permettent une flexibilité dans leur fréquence d'implémentation. Concrètement, chaque fois que PCI DSS laisse le choix de la fréquence (par exemple "au moins une fois par an" vs "selon les risques"), l'organisation doit documenter son analyse de risque justifiant la fréquence choisie.
L'exigence 12.3.3 impose une revue annuelle de tous les algorithmes cryptographiques utilisés dans l'environnement, avec un plan de migration vers des algorithmes plus robustes si nécessaire. Cette exigence anticipe la menace quantique et prépare les organisations à la transition vers des algorithmes post-quantiques. Pour les marchands européens, cela s'aligne avec les recommandations de l'ENISA (Agence de l'Union européenne pour la cybersécurité) sur la migration cryptographique.
Impact sur les SAQ et les processus d'auto-évaluation
Les questionnaires d'auto-évaluation (SAQ) ont été mis à jour pour intégrer les nouvelles exigences v4.0. Le SAQ A, utilisé par les marchands qui externalisent entièrement leur page de paiement, reste le plus simple avec environ 22 questions — mais certaines questions ont été reformulées pour intégrer les nouvelles exigences de gouvernance et de documentation. Le SAQ D, applicable aux marchands qui traitent directement les données de carte, comporte maintenant plus de 300 exigences individuelles.
La bonne nouvelle pour les marchands SAQ A est que la majorité des nouvelles exigences ne s'applique pas à leur périmètre. En déléguant la page de saisie des données de carte à un prestataire certifié, ils évitent notamment les exigences 6.4.3 et 11.6.1 qui sont les plus complexes à implémenter. Cette stratégie de réduction du périmètre reste la plus efficiente pour les marchands e-commerce qui veulent limiter leur effort de conformité.
Comment mettre à jour votre programme de conformité pour 2025
La première étape est de réaliser un gap analysis actualisé tenant compte de toutes les 64 nouvelles exigences. Si votre dernière évaluation remonte à 2023 ou 2024, il est probable que certaines exigences "future-dated" n'ont pas encore été implémentées dans votre environnement. Ce gap analysis doit aboutir à un plan d'action avec des responsables clairement identifiés et des dates de mise en conformité.
La deuxième étape est de prioriser les exigences selon leur effort d'implémentation et leur risque résiduel. Les exigences 6.4.3 et 11.6.1 nécessitent des changements techniques mais sont critiques car elles répondent à des menaces actives (skimming web). L'exigence 8.4.2 (MFA étendue) peut nécessiter une refonte de l'infrastructure d'authentification et doit être planifiée en conséquence. Enfin, les exigences documentaires (12.3.x) peuvent généralement être traitées rapidement une fois les contrôles techniques en place.
Vous souhaitez adapter votre conformité PCI DSS aux exigences 2025 ? Découvrir PCI Proxy EU.