CapGRC
Retour aux ressources
PCI-DSSArticle

PCI-DSS 4.0 : les principales nouveautés et leur impact pour votre organisation

Analyse des changements majeurs de PCI-DSS 4.0, entrés en vigueur le 31 mars 2024, et plan d'action pour mettre à jour votre programme de conformité.

9 min de lectureMars 2024

PCI-DSS v3.2.1 est officiellement retiré depuis le 31 mars 2024

Toutes les évaluations doivent désormais être menées selon PCI-DSS v4.0. Certaines exigences ont une période de transition jusqu'au 31 mars 2025.

Les 5 changements les plus impactants

Req. 3

Protection des données de titulaires de cartes

ÉlevéÉchéance : 31 mars 2025

Les méthodes de chiffrement obsolètes (DES, 3DES) doivent être remplacées. Les clés cryptographiques doivent avoir une durée de vie définie et documentée.

Req. 6

Sécurité des systèmes et logiciels

ÉlevéÉchéance : 31 mars 2025

Introduction du concept de « Software Security Framework » avec une approche plus flexible mais plus rigoureuse de la sécurité applicative. Les tests de pénétration doivent couvrir les API.

Req. 8

Authentification et contrôle d'accès

CritiqueÉchéance : 31 mars 2025

L'authentification multi-facteurs (MFA) est désormais obligatoire pour TOUS les accès à l'environnement de données des titulaires (CDE), pas seulement les accès distants.

Req. 10

Journalisation et surveillance

ModéréÉchéance : 31 mars 2025

Détection automatisée des défaillances des mécanismes de journalisation. Les journaux doivent être protégés contre les modifications non autorisées avec détection d'altération.

Req. 12

Politiques et gestion des risques

ModéréÉchéance : Immédiat

L'évaluation des risques doit être réalisée au minimum annuellement ET lors de tout changement significatif. La gestion des risques liés aux tiers est renforcée.

Plan d'action recommandé

Réaliser une analyse d'écart PCI-DSS v4.0 vs votre état actuel

Identifier les exigences « best practices » devenant obligatoires en mars 2025

Prioriser le déploiement du MFA pour tous les accès au CDE

Mettre à jour votre inventaire des algorithmes cryptographiques

Réviser vos contrats avec les prestataires (exigences tiers renforcées)

Planifier les tests de pénétration couvrant les API

Documenter votre processus d'évaluation des risques annuel

Gérez votre conformité PCI-DSS dans CapGRC

Référentiel PCI-DSS préconfiguré, analyse des écarts automatisée et suivi des plans d'action correctifs intégrés.

Voir le module ConformitéDemander une démo