Le test d'intrusion (ou penetration testing) est l'une des exigences les plus coûteuses et les plus techniques du standard PCI DSS. Savoir précisément quand il est obligatoire, ce qu'il doit couvrir et comment en réduire la portée peut faire une différence significative sur le budget de conformité annuel.
Quand le test d'intrusion est-il obligatoire en PCI DSS
Selon PCI DSS v4, l'exigence 11.4 impose des tests d'intrusion à tous les marchands et prestataires de services qui maintiennent un périmètre CDE. Concrètement, un test d'intrusion est obligatoire au moins une fois par an et après tout changement significatif de l'infrastructure ou des applications dans le périmètre. Un "changement significatif" inclut l'ajout de nouvelles fonctionnalités, la mise à niveau d'une infrastructure réseau ou l'intégration d'un nouveau service tiers dans le CDE.
Les marchands utilisant un SAQ A — c'est-à-dire ceux qui ont délégué entièrement la collecte et le traitement des cartes à un prestataire certifié et n'ont aucun CDE propre — sont généralement exemptés de l'obligation de test d'intrusion. C'est l'un des avantages concrets d'une réduction maximale du CDE.
Ce que doit couvrir un test d'intrusion PCI DSS
Un test d'intrusion PCI DSS ne se limite pas à un scan automatisé de vulnérabilités. Il doit inclure des tests manuels effectués par un testeur qualifié, couvrir à la fois les tests de couche réseau (infrastructure, commutateurs, pare-feux) et les tests de couche applicative (applications web, API, interfaces d'administration). PCI DSS v4 exige explicitement que les tests d'intrusion des applications couvrent toutes les vulnérabilités classées dans l'OWASP Top 10.
Les tests doivent également valider l'efficacité de la segmentation réseau : si le marchand déclare utiliser la segmentation pour réduire son scope, le test d'intrusion doit confirmer que cette segmentation est effective et qu'un attaquant positionné hors du CDE ne peut pas y accéder. Cette validation est formellement requise par PCI DSS v4 et doit être documentée dans le rapport de test.
Combien coûte un test d'intrusion PCI DSS
Le coût d'un test d'intrusion PCI DSS varie considérablement selon l'étendue du périmètre à tester, la complexité de l'architecture et la réputation du prestataire. Pour une PME avec un CDE de taille moyenne, il faut généralement compter entre 3 000 et 15 000 € pour un test annuel. Pour les grandes entreprises avec des architectures complexes, les coûts peuvent atteindre 50 000 € ou plus.
À ce coût direct s'ajoutent les coûts indirects : le temps interne consacré à la coordination du test, la préparation de la documentation (architectures, diagrammes de flux), le suivi des recommandations et la vérification de la remédiation. Pour les marchands sans équipe IT dédiée, ces coûts indirects peuvent être aussi importants que le coût direct du test lui-même.
Comment réduire le coût du test d'intrusion PCI DSS
La stratégie la plus efficace pour réduire le coût du test d'intrusion est de réduire la taille du CDE à tester. Un CDE plus petit signifie moins de systèmes à tester, moins de jours de travail pour le testeur et une facture finale moins élevée. Avec la tokenisation, si le marchand n'a pas de CDE propre, il n'a pas de test d'intrusion à effectuer — une économie potentielle de plusieurs milliers d'euros par an.
Pour les marchands qui maintiennent un CDE minimal, il est également possible de rationaliser le périmètre de test en documentant précisément les composants dans le scope et en excluant formellement les systèmes qui n'ont aucune interaction avec les données de carte. Une documentation claire et complète du CDE avant le test permet au testeur de concentrer ses efforts sur les systèmes pertinents, réduisant ainsi la durée et le coût de l'engagement.
Questions fréquentes sur le test d'intrusion PCI DSS
Un scan ASV remplace-t-il le test d'intrusion ?
Non. Les scans ASV (Approved Scanning Vendor) sont des scans automatisés de vulnérabilités réseau effectués trimestriellement. Ils sont distincts des tests d'intrusion, qui sont des tests manuels approfondis effectués annuellement. PCI DSS exige les deux pour les marchands dans le scope, et ils remplissent des fonctions complémentaires.
Qui peut effectuer un test d'intrusion PCI DSS ?
PCI DSS v4 exige que le testeur soit indépendant du système testé. Il peut s'agir d'un prestataire externe qualifié ou d'un testeur interne sans responsabilité directe sur les systèmes concernés. Pour les marchands Level 1, un QSA peut également superviser ou valider les tests. La qualification du testeur et son indépendance doivent être documentées.
Vous souhaitez éliminer ou réduire l'obligation de test d'intrusion en minimisant votre CDE ? Découvrez PCI Proxy EU.