La segmentation réseau PCI DSS est l'une des techniques les plus efficaces pour réduire le scope de conformité. En isolant correctement le Cardholder Data Environment (CDE) du reste de l'infrastructure, les entreprises peuvent limiter le nombre de systèmes soumis aux audits PCI et réduire considérablement leurs coûts de conformité.
Pourquoi la segmentation réseau est fondamentale en PCI DSS
Sans segmentation réseau, l'ensemble de l'infrastructure d'une entreprise peut tomber dans le périmètre PCI DSS dès lors qu'elle est connectée à des systèmes traitant des données de carte. Cela signifie que chaque serveur, chaque poste de travail et chaque équipement réseau pourrait être soumis aux 300+ exigences du standard. La segmentation réseau permet de créer une frontière claire entre les systèmes contenant des données de cartes et ceux qui n'en contiennent pas.
PCI DSS v4 maintient la segmentation réseau comme mécanisme de réduction du scope, mais précise que celle-ci doit être validée par des tests annuels. Une segmentation mal implémentée ou non testée peut ne pas être reconnue par l'acquéreur ou par un QSA, exposant le marchand à un scope complet et donc à une charge de conformité bien plus lourde.
Comment isoler correctement le CDE
L'isolation du CDE repose sur plusieurs principes techniques. Les pare-feux constituent la première ligne de défense : ils doivent être configurés pour n'autoriser que le trafic strictement nécessaire entre le CDE et les autres segments réseau. Les règles de pare-feu doivent être documentées, révisées au moins tous les six mois et justifiées pour chaque flux autorisé.
Les VLANs (Virtual Local Area Networks) permettent une séparation logique des réseaux au niveau de la couche 2. Si les VLANs seuls ne constituent pas une segmentation suffisante aux yeux de PCI DSS, ils peuvent être utilisés conjointement avec des contrôles d'accès au niveau de la couche 3 pour créer une isolation robuste. La DMZ (zone démilitarisée) est recommandée pour les composants qui doivent être accessibles depuis Internet, comme les serveurs web ou les passerelles de paiement.
Méthodes de segmentation : pare-feux, micro-segmentation et SDN
Au-delà des approches traditionnelles basées sur les pare-feux et VLANs, les environnements modernes tirent parti de la micro-segmentation pour une granularité accrue. La micro-segmentation permet d'appliquer des politiques de sécurité au niveau de chaque charge de travail individuelle, même au sein d'un même segment réseau. Cette approche est particulièrement pertinente dans les environnements cloud et virtualisés où les frontières physiques sont inexistantes.
Les technologies Software-Defined Networking (SDN) offrent une flexibilité supplémentaire en permettant de définir et d'appliquer des politiques de segmentation de manière programmatique. Cependant, ces approches avancées nécessitent une expertise technique importante et une documentation rigoureuse pour satisfaire aux exigences PCI DSS en matière de validation de la segmentation.
La tokenisation comme alternative à la segmentation complexe
La segmentation réseau nécessite un investissement technique et financier significatif : conception de l'architecture, implémentation des équipements, tests réguliers et documentation continue. Une approche alternative ou complémentaire consiste à éliminer les données de carte de l'infrastructure plutôt que de les isoler. Grâce à la tokenisation, les systèmes du marchand ne reçoivent jamais de PAN en clair : ils n'entrent donc pas dans le CDE et n'ont pas besoin d'être segmentés.
PCI Proxy EU tokenise les données de carte au point de collecte, avant qu'elles n'atteignent les serveurs du marchand. Le résultat est un périmètre CDE quasi nul : seule l'infrastructure de PCI Proxy EU est dans le scope PCI, et elle est déjà certifiée PCI DSS Level 1. Pour le marchand, cela se traduit par un SAQ A au lieu d'un SAQ D, sans investissement en segmentation réseau complexe.
Questions fréquentes sur la segmentation réseau PCI DSS
Un VLAN est-il suffisant pour segmenter le CDE selon PCI DSS ?
Les VLANs seuls ne sont généralement pas considérés comme suffisants par PCI DSS. Ils doivent être combinés avec des contrôles d'accès de couche 3, des pare-feux et des ACLs pour créer une segmentation robuste. La validité de la segmentation doit être testée et documentée au moins une fois par an.
Quelle est la différence entre segmentation réseau et isolation complète du CDE ?
La segmentation réseau crée une frontière entre le CDE et le reste du réseau mais maintient une certaine connectivité contrôlée. L'isolation complète signifie que le CDE n'a aucune connexion avec les systèmes hors périmètre — une approche plus sécurisée mais souvent impraticable pour les opérations quotidiennes. La tokenisation offre une troisième voie : supprimer les données de carte de l'infrastructure du marchand pour éliminer le CDE à la source.
Vous souhaitez éliminer le CDE de votre infrastructure plutôt que de le segmenter ? Découvrez PCI Proxy EU.