Sécurité des paiements : Définition, enjeux et bonnes pratiques

La sécurité des paiements est un enjeu capital, tant pour les commerçants que pour les consommateurs. À l'ère du numérique, où les transactions se multiplient en ligne comme en magasin, garantir la protection des données est le socle de la confiance. Cette page a pour but de définir ce qu'est la sécurité des paiements, d'expliquer les normes et technologies qui la régissent, et de présenter les bonnes pratiques à adopter. 

La sécurité des paiements désigne l'ensemble des mesures, technologies et procédures visant à protéger les transactions financières contre le vol de données et les accès non autorisés. Elle s'applique à toute entité voyant passer des données carte bancaire (point de vente physique, e-commerce, ...). 

Un système de paiement sécurisé doit garantir quatre piliers fondamentaux : 

• La confidentialité : Seules les personnes autorisées peuvent accéder aux données de la transaction. 
• L'intégrité : Les informations de paiement ne peuvent être modifiées ou altérées durant leur traitement. 
• La disponibilité : Le système de paiement doit être fonctionnel et accessible lorsque les utilisateurs en ont besoin. 
• La traçabilité : Chaque transaction doit pouvoir être suivie et vérifiée, assurant une piste d'audit fiable. 

La robustesse de la sécurité des paiements repose sur des standards internationaux et des acteurs de régulation. 

PCI DSS (Payment Card Industry Data Security Standard) est un standard mondial incontournable. Créé par les grands schémas de cartes (Visa, MasterCard, American Express, etc.), il spécifie un ensemble d'exigences techniques et organisationnelles à toute entité qui stocke, traite ou transmet des données de cartes de paiement. La conformité PCI DSS est un gage de sérieux et une obligation contractuelle pour les commerçants et prestataires. 

Spécifiquement conçu pour la vente à distance, le protocole 3D Secure vise à s'assurer de l'authenticité du consommateur (porteur de la carte). Il ajoute une étape d'authentification lors du paiement, souvent via l'application bancaire ou un code unique (OTP) envoyé par SMS selon le choix de la banque émetteur (banque du porteur).

En France, le Groupement d'Intérêt Économique des Cartes Bancaires (GIE CB), en complément de ses fonctions de schéma de paiement, éditent des standards de sécurité (pour les applications installées sur les terminaux, pour les prestataires intervenant sur des systèmes d’acceptation (terminal de paiement, ...). 

L'ANSSI (Autorité Nationale en matière de Sécurité et de défense des Systèmes d'Information) fournit également des recommandations sur les meilleures pratiques de cryptographie. 

Même en magasin, la vigilance est de mise. Les exigences de sécurité à mettre en place dépendent du type de terminal utilisé. 

• TPE autonome : Il fonctionne sans être relié à une caisse. La sécurité passe par une manipulation exclusive par le commerçant et des inspections régulières pour détecter tout matériel suspect.  
• TPE connecté : Relié à la caisse, il doit être connecté sur un réseau isolé et dédié pour éviter toute interférence avec d'autres systèmes (bureautique, Wi-Fi public). 
• TPE intégré : Partie d'un système de paiement global, il exige une segmentation réseau stricte et des tests d'intrusion réguliers (pentest). 

• Utiliser uniquement des terminaux approuvés PCI PTS (PIN Transaction Security). 
• Ne jamais stocker les informations du ticket commerçant (lorsque le numéro de carte n’est pas masqué) de manière non sécurisée. 
• Prévoir une destruction sécurisée des tickets commerçant (lorsque le numéro de carte n’est pas masqué) lorsqu’ils dépassent leur durée de rétention.
• Former le personnel à la détection des tentatives de fraude ou de modification du matériel. 
• Vérifier l’orientation des caméras afin de ne pas filmer les claviers (PIN PAD) des TPE. 

Cette solution, qui transforme un smartphone ou une tablette en terminal de paiement via un "dongle", exige que ce dernier soit agréé PCI PTS et indépendant du téléphone pour garantir la sécurité du code PIN. Aucune donnée de carte ne doit être stockée sur l'appareil mobile. 

Pour un e-commerçant, la méthode la plus facile d’un point de vue conformité est de passer par un PSP (Payment Service Provider). Ce prestataire spécialisé prend en charge la transaction sur un environnement sécurisé et certifié PCI DSS. Le commerçant n'a ainsi jamais connaissance des données de carte de ses clients. 

Deux méthodes d'intégration principales existent : 

1. La redirection : L'acheteur est redirigé vers une page de paiement sécurisée hébergée par le PSP. Cette approche créé une rupture dans l’expérience utilisateur. 
2. L'iFrame (ou widget) : Le formulaire de paiement est intégré directement sur la page du commerçant, mais les données sont envoyées directement au PSP. L'expérience est plus fluide tout en restant sécurisée. 
   A noter que cette intégration ne dispense pas le commerçant de se faire certifier PCI DSS. Cela minime le nombre d'exigences applicables et simplifie la mise en conformité à PCI DSS et à son maintien. 

Les paiements via un centre d'appel nécessitent des mesures strictes : les postes de travail des opérateurs doivent être sécurisés, les systèmes de téléphonie mis à jour, et le personnel sensibilisé aux risques. Les numéros de carte sont généralement saisis directement sur des plateformes de paiement en temps réel. La prise de note de données carte à l’extérieur de cette plateforme est proscrite.