Qu'est-ce que la sécurité des cartes de crédit ?

La sécurité des cartes de crédit est un ensemble de protocoles, de technologies et de meilleures pratiques sur lesquels les entreprises s'appuient pour protéger les informations de cartes de crédit traitées ou stockées dans leurs environnements informatiques. Les tendances telles que les paiements sans contact et les transactions sans carte pour les achats en ligne ont permis une augmentation de la fraude à la carte de crédit et d'autres types de criminalité financière. Les solutions de sécurité pour les cartes de crédit aident les entreprises à protéger les informations financières sensibles, à limiter la perte de données relatives aux cartes de crédit, à prévenir la fraude par carte de crédit et à éviter les conséquences négatives telles que les amendes réglementaires, les actions en justice et les pertes de revenus, de réputation et de confiance de la part des clients.

La sécurité des cartes de crédit est une préoccupation majeure pour les détaillants et les entreprises qui utilisent le paiement par carte de crédit, ainsi que pour les émetteurs de cartes de crédit, les institutions financières et les grandes sociétés de cartes de crédit, notamment Visa, Mastercard, Discover et American Express. Bien que les nouvelles cartes disposent de fonctions de sécurité telles que les puces EMV conçues pour améliorer la sécurité des cartes de crédit, les criminels trouvent constamment de nouvelles façons de voler des numéros de compte de carte de crédit et d'effectuer des transactions frauduleuses par carte de crédit.

• Fraude à la carte non présente. L'une des menaces de plus en plus fréquente en matière de sécurité des cartes de crédit, la fraude à la carte non présente, se produit lorsqu'un criminel effectue des achats en ligne ou des achats par téléphone avec des informations de carte de crédit volées.
• Escroquerie de type skimming. Les criminels placent souvent des skimmers sur les terminaux des points de vente pour voler des informations de compte lorsqu'un client ou un employé passe une carte de crédit. Le skimming peut également se produire dans les transactions en ligne. Par exemple, les attaques Magecart tirent parti des vulnérabilités de tiers dans les plateformes d'e-commerce qui permettent aux pirates d'injecter du code malveillant dans une page de paiement au sein d'un navigateur. Lorsqu'un visiteur du site saisit ses informations de carte de paiement, le code malveillant les fait glisser et les envoie à un domaine contrôlé par l'attaquant.
• Hameçonnage. Dans ces attaques, les fraudeurs se font passer pour un contact, une entreprise ou un service légitime et persuadent les utilisateurs de révéler leur numéro de carte de crédit et d'autres informations sensibles.
• Fraude à l'application. Sous cette forme d'usurpation d'identité, les criminels peuvent utiliser des informations volées pour demander une carte de crédit au nom d'une autre personne. Ce type de fraude peut ne pas être détecté tant que la victime n'a pas vérifié son rapport de crédit ou remarqué un changement sur sa note de crédit.
• Violation des données. Lorsque les pirates parviennent à accéder à l'environnement informatique d'une entreprise, ils peuvent télécharger de grandes quantités de données clients, incluant des informations personnelles telles que des numéros de sécurité sociale, ainsi que des numéros de carte de débit ou de carte de crédit avec leurs numéros CVV ou CID (les trois ou quatre chiffres au dos de la carte conçus pour renforcer la sécurité).

La sécurité des cartes de crédit et la protection contre la fraude impliquent généralement une approche multicouche pour prévenir, détecter et réagir à la fraude et à d'autres menaces.

• Chiffrement. En chiffrant les données à l'aide de protocoles tels que SSL et TLS, les entreprises peuvent transmettre en toute sécurité les données de paiement sans crainte d'interception ou de falsification.
• Tokenisation. Lors de la transmission d'informations de carte de crédit, la tokenisation est le processus qui consiste à remplacer les informations sensibles de la carte par une chaîne aléatoire de chiffres et de lettres, appelée jeton, qui ne peut être lu correctement que par un processeur de paiement. La tokenisation renforce la sécurité des cartes de crédit et des transactions de commerce électronique tout en réduisant le coût et la complexité de la conformité aux réglementations et aux normes de l'industrie.
• Authentification. L'utilisation de l'authentification multifactorielle (MFA) à facteur unique, à deux facteurs ou à plusieurs facteurs permet de s'assurer que les personnes présentant des cartes de crédit pour le paiement sont effectivement des utilisateurs autorisés. L'authentification multifactorielle implique l'utilisation de deux types d'authentification ou plus, y compris les mots de passe, les codes PIN, les codes à usage unique, les données biométriques, les questions de sécurité et les jetons physiques.
• Systèmes de prévention et de détection des fraudes. Ces technologies reconnaissent et bloquent les transactions frauduleuses en surveillant le comportement des clients, en identifiant les modèles de transactions et en détectant les anomalies. Lors de la détection d'une fraude potentielle, ces solutions peuvent bloquer les transactions ou nécessiter des mesures d'authentification supplémentaires.
• Conformité PCI DSS. La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) définit un ensemble de normes pour la protection des données des clients et la réduction du risque de violation des données. Les entreprises qui se conforment aux normes PCI DSS sont mieux à même de traiter, stocker et transmettre des informations de carte de crédit en toute sécurité.
• Sécurité des pare-feux et des réseaux. Les pare-feux et autres technologies de sécurité réseau et Web aident les entreprises à renforcer la sécurité des cartes de crédit en bloquant les menaces externes telles que les logiciels malveillants et les cybercriminels qui tentent d'accéder aux environnements informatiques. Les pare-feux analysent et surveillent le trafic et appliquent des stratégies de sécurité pour bloquer les menaces potentielles. Les systèmes de détection et de prévention des intrusions identifient les intrusions possibles et surveillent en permanence l'activité du réseau. Les solutions de segmentation et de microsegmentation divisent les réseaux et les ressources informatiques en unités plus petites afin de limiter le « rayon d'attaque » potentiel d'une cyberattaque réussie.
• Protection côté client. La protection côté client peut empêcher les attaques côté client telles que Magecart, le skimming Web et le détournement de formulaires.
• Prévention des pertes de données (DLP). Les solutions DLP protègent les informations sensibles, telles que les données de carte de crédit, contre toute divulgation, exposition ou vol, par malveillance ou par inadvertance. Grâce à l'analyse contextuelle et à l'inspection du contenu, les solutions DLP recherchent les données entrant et sortant du réseau et bloquent le trafic contenant des informations sur les titulaires de carte, des informations d'identification personnelle (PII) et d'autres types de données sensibles.
• Mises à jour sécurisées. Il est essentiel de maintenir un rythme régulier et cohérent pour corriger les vulnérabilités, appliquer des correctifs et mettre en œuvre des mises à jour de sécurité afin d'empêcher les pirates d'exploiter les vulnérabilités, les bogues et les problèmes de sécurité dans les logiciels, le matériel et les systèmes d'exploitation.

Les interfaces de programmation d'applications, ou API, sont souvent le maillon faible de la chaîne en matière de sécurité des cartes de crédit. Les API sont des programmes logiciels ou des bits de code qui permettent aux applications de communiquer entre elles et de partager des données et des fonctionnalités. À mesure que de plus en plus d'API sont créées et utilisées pour partager des données sensibles, telles que les données de carte de crédit, les entreprises introduisent davantage de risques. Ces failles de sécurité laissent la porte ouverte aux pirates pour obtenir un accès non autorisé aux API et aux systèmes connectés. En raison de ces violations de données, les données de carte de crédit des clients peuvent être divulguées ou volées.

Plus important encore, assurez-vous que toutes les protections d'API que vous utilisez sont conformes à la norme PCI DSS. Cela peut vous aider à être sûr que les solutions que vous mettez en place suivent elles-mêmes les meilleures pratiques en matière de traitement des données de carte de crédit. Pour déterminer les solutions de sécurité dont vous avez besoin, la première chose à garder à l'esprit est que la protection des API nécessite une approche multicouche de la sécurité. Une passerelle d'API peut aider à autoriser et acheminer les appels vers les services back-end et les points de terminaison front-end appropriés, tout en appliquant la limitation du débit et la régulation pour empêcher les abus d'API. Les équipes de sécurité peuvent également avoir besoin de mettre en œuvre des technologies de chiffrement, d'authentification et d'autorisation, des pare-feux d'applications Web, des schémas de sécurité OpenAPI et des outils pour découvrir les API et identifier les vulnérabilités. Cependant, la sécurité de la passerelle d'API ne suffit pas à bloquer le type d'attaques qui font partie des 10 principaux risques pour la sécurité des API selon l'OWASP (Open Web Application Security Project). Tout d'abord, les entreprises doivent s'assurer qu'elles disposent d'un inventaire complet de leurs API et qu'elles sont en mesure de les étiqueter selon qu'elles contiennent ou non des données sensibles, telles que des informations de carte de crédit. Ensuite, elles doivent utiliser l'analyse comportementale pour surveiller toutes les activités des API afin de s'assurer que ces API partagent les données de la manière attendue et alertent en cas de comportement anormal.